簡介：
近日，網路上有一惡意軟體正透過電子郵件散佈，是為大陸 TA800 駭客集團利用 NIM 程式語言製作的惡意軟體。該駭客團體在 2020年4月也有散佈一隻名為 BazaLoader 的惡意軟體。國外資安團隊 Proofpoint 分析該惡意軟體，從中了解一些相關行為。

內容：
駭客團隊利用郵件誘導使用者下載這款惡意軟體並進行逆向工程，發現此惡意軟體是利用 NIM 程式語言來撰寫的：

大部分字串是經過 XOR 或 single-key per string 進行加密。解密後的字串包含一些 http request 的 header 、C&C伺服器的網址以及特別的參數。另外也發現其中有 Unix epoch timestamp ， 只要超過該日期，此惡意軟體便不會執行。

此惡意程式會和 C&C 伺服器做連結， 與伺服器 handshake 利用 X25519 key exchange 取得一些設定項目。C&C伺服器回應的資料可以利用 monocypher 這個加解密套件做解密，並且也有該資安團隊也有提供解密腳本。

解密出來的回應內容如下：

其中 path_adj 和 path_noun 是作為日後與 C&C 伺服器連線用的參數，如 hxxp://liqui-technik\.com/about/disassociation/better-known，並且會在每次 C&C 伺服器回應之後便會進行更新。剩下的回傳便是執行指令，如下：

其中可以解析出來的指令包括：

• cmd - 執行 cmd.exe
• powershell - 執行 powershell.exe
• handshake - 重新 handshake
• shellcode - 注入 shellcode 進執行緒
• sc – 壓縮 shellcode
• prog - 注入 shell 的軟體
• heartbeat - 更新惡意軟體的過期時限
• sig - 檢查簽名

結論：
由於惡意軟體(NimzaLoader)的 C&C 伺服器在研究過程中下線了，因此無法繼續追查，但在其中一個公共測試軟體 sandbox 中，表示該惡意軟體接受了 powershell 的執行，顯示出投向 cobalt strike。使用者在下載任何網路上的資源或是檔案都必須非常小心，尤其是惡意軟體並不是百分百會被防毒軟體偵測出來，若惡意軟體由比較冷門的程式語言撰寫或是更加新型的病毒都不容易被防毒軟體偵測。