一种名为sLoad的新型PowerShell下载器正在进行测试,它采用了令人印象深刻的侦察战术和地理围栏技术。
SLoad于2018年5月首次被发现,它通常会传播Ramnit银行木马(但也被观察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效载荷之前了解目标。
根据Proofpoint分析,sload所在的恶意软件收集有关受感染系统的信息,包括正在运行的进程列表,Outlook信息以及Citrix相关文件,它还将抓取目标设备的截屏。
“这是我们在过去几个月发现的组成事件的另外一部分,威胁演员继续采用具有丰富侦察功能、不易被观察到的载体。通过使用能够评估受感染系统的装载器,参与者可以更加灵活清晰地选择目标,并提高受感染设备与预想目标的匹配度,从而弥补过去几年大规模勒索软件和攻击银行有关的“spray-and-pray”活动中的不足。”Proofpoint的威胁情报负责人Chris Dawson告诉媒体。
Proofpoint追踪到这款恶意软件的源头是他们从2017年初就开始跟踪的威胁组织(Proofpoint内部将其命名为TA554)。TA554在最近的活动中用sLoad专门搭载Ramnit银行木马,他们通常使用各种银行木马瞄准攻击加拿大、英国、意大利的组织。TA554会使用目标国家的语言制作的电子邮件进行攻击,邮件内容(比如邮件主题、主体)会针对目标“个性化定制”。这些电子邮件包含链接到压缩LNK文件或压缩文档的URL。他们经常利用包裹投递或订单通知受害者。
LNK文件或文档宏依次下载下一个阶段——如典型的PowerShell脚本,它可以下载最终的有效负载或sload这样的下载器。”有趣的是,攻击者在感染链的所有环节中使用地理围栏,(即根据通过IP地址确定用户的位置,相应限制对内容的访问),包括下载dropper、PowerShell,sLoad与它指挥和控制(C2)服务器,以及它接收任务或命令的环节。
Proofpoint表示,从5月份开始,出现多个不同的sLoad版本,引入了增量式的变化。例如10月22日,这位演员在zipped-LNK下载步骤中添加了一个面向受害者的着陆程序,这样最初的. lnk文件就可以直接下载sLoad,而不需要额外的PowerShell作为桥梁。
另外,sLoad会标记受感染的系统,令威胁行为者能够更好地为他们看中的有效载荷选择感兴趣的目标。在这种情况下,最终的有效负载通常是一个银行木马,通过它,参与者不仅可以窃取额外的数据,还可以对受感染的个人进行人工浏览器攻击。不过,与sLoad、Marap一样,无论在避开供应商沙箱、将勒索软件交付给一个似乎拥有关键任务的系统上,还是将银行木马交付给最有可能获得回报的系统方面,下载器也为威胁行为者提供了高度的灵活性。