En farlig ny malware-laster med funksjoner for å avgjøre om den er på et forretningssystem eller en personlig datamaskin har begynt å raskt infisere systemer over hele verden i løpet av de siste månedene.
Forskere ved VMware Carbon Black sporer trusselen, kalt BatLoader, og sier at operatørene bruker dropperen til å distribuere en rekke skadevareverktøy, inkludert en banktrojaner, en informasjonstyver og Cobalt Strike-verktøysettet etter utnyttelse av offersystemer. Trusselaktørens taktikk har vært å være vert for skadelig programvare på kompromitterte nettsteder og lokke brukere til disse nettstedene ved å bruke søkemotoroptimalisering (SEO) forgiftningsmetoder.
Leve av landet
BatLoader er sterkt avhengig av batch- og PowerShell-skript for å få et første fotfeste på en offermaskin og for å laste ned annen skadelig programvare på den. Dette har gjort kampanjen vanskelig å oppdage og blokkere, spesielt i de tidlige stadiene, sa analytikere fra VMware Carbon Blacks team for administrert deteksjon og respons (MDR) i en rapport utgitt 14. november.
VMware sa at deres Carbon Black MDR-team hadde observert 43 vellykkede infeksjoner de siste 90 dagene, i tillegg til en rekke andre mislykkede forsøk der et offer lastet ned den første infeksjonsfilen, men ikke utførte den. Ni av ofrene var organisasjoner i forretningstjenestesektoren, syv var finansielle tjenesteselskaper, og fem var i industrien. Andre ofre inkluderte organisasjoner innen utdanning, detaljhandel, IT og helsevesen.
9. november sa eSentire at trusseljaktteamet deres hadde observert BatLoaders operatør som lokket ofre til nettsider som er utgitt som nedlastingssider for populær forretningsprogramvare som LogMeIn, Zoom, TeamViewer og AnyDesk. Trusselaktøren distribuerte lenker til disse nettstedene via annonser som viste seg fremtredende i søkemotorresultatene når brukere søkte etter noen av disse programvareproduktene.
Sikkerhetsleverandøren sa at i en hendelse i slutten av oktober, kom en eSentire-kunde til en falsk LogMeIn-nedlastingsside og lastet ned et Windows-installasjonsprogram som blant annet profilerer systemet og bruker informasjonen til å hente en andretrinns nyttelast.
"Det som gjør BatLoader interessant er at den har innebygd logikk som avgjør om offerets datamaskin er en personlig datamaskin eller en bedriftsdatamaskin," sier Keegan Keplinger, forsknings- og rapporteringsleder ved eSentires TRU-forskningsteam. "Deretter slipper den typen skadelig programvare som passer for situasjonen."
Selektiv nyttelastlevering
For eksempel, hvis BatLoader treffer en personlig datamaskin, laster den ned Ursnif bank malware og Vidar informasjonstyveren. Hvis den treffer en domenetilkoblet datamaskin eller bedriftsdatamaskin, laster den ned Cobalt Strike og Syncros fjernovervåkings- og administrasjonsverktøy, i tillegg til banktrojaneren og informasjonstyveren.
"Hvis BatLoader lander på en personlig datamaskin, vil den fortsette med svindel, infostjeling og bankbaserte nyttelaster som Ursnif," sier Keegan. "Hvis BatLoader oppdager at den er i et organisasjonsmiljø, vil den fortsette med inntrengningsverktøy som Cobalt Strike og Syncro."
Keegan sier at eSentire har observert «mange» av nylige nettangrep som involverer BatLoader. De fleste angrepene er opportunistiske og rammer alle som leter etter pålitelige og populære gratis programvareverktøy.
"For å komme foran organisasjoner, utnytter BatLoader forgiftede annonser slik at når ansatte ser etter pålitelig gratis programvare, som LogMeIn og Zoom, lander de i stedet på nettsteder kontrollert av angripere, og leverer BatLoader."
Overlapper med Conti, ZLoader
VMware Carbon Black sa at selv om det er flere aspekter ved BatLoader-kampanjen som er unike, er det også flere attributter ved angrepskjeden som har en likhet med Fortsatt ransomware-operasjon.
Overlappingene inkluderer en IP-adresse som Conti-gruppen brukte i en kampanje som utnyttet Log4j-sårbarheten, og bruken av et eksternt administrasjonsverktøy kalt Atera som Conti har brukt i tidligere operasjoner.
I tillegg til likhetene med Conti har BatLoader også flere overlappinger med Zloader, en banktrojaner som ser ut til å stamme fra Zeus-banktrojaneren på begynnelsen av 2000-tallet, sa sikkerhetsleverandøren. De største likhetene der inkluderer bruken av SEO-forgiftning for å lokke ofre til nettsteder med skadelig programvare, bruken av Windows Installer for å etablere et første fotfeste og bruk av PowerShell, batch-skript og andre native OS-binærfiler under angrepskjeden.
Mandiant var den første som rapporterte om BatLoader. I et blogginnlegg i februar rapporterte sikkerhetsleverandøren at han observerte en trusselaktør som brukte temaer for «gratis produktivitetsappsinstallasjon» og «gratis programvareutviklingsverktøyinstallasjon» som SEO-nøkkelord for å lokke brukere til å laste ned nettsteder.
"Dette innledende BatLoader-kompromisset var begynnelsen av en flertrinns infeksjonskjede som gir angriperne et fotfeste i målorganisasjonen, sa Mandiant. Angriperne brukte hvert trinn til å sette opp neste fase av angrepskjeden ved å bruke verktøy som PowerShell, Msiexec.exe og Mshta.exe for å unngå oppdagelse.
