Campo Loader

Campo Loader（またはNLoader）は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップすることが確認されています。脅威に付けられた名前は、コマンドアンドコントロール（C2、C＆C）サーバーとの通信中に使用される「/ campo /」を含むパスに基づいていました。

実行後、Campo Loaderの最初のタスクは、ハードコードされた名前でディレクトリを作成することです。次のステップは、C2サーバーに到達しようとすることです。そのために、脅威はPOSTを介して文字列「ping」を送信し、着信応答を待ちます。 Openfieldサーバーは応答としてURLを返しますが、Campo Loaderが脅威のアクティビティを続行する前に、C2サーバーからのメッセージが「h」で始まるかどうかを確認します。そうでない場合、マルウェアはプロセスを終了します。

それ以外の場合は、POSTメソッドを使用して2番目の「ping」メッセージが指定されたURLに再度送信されます。これにより、2番目のペイロードがCampo Loaderによってフェッチされ、侵害されたシステムにファイルとして保存されます。ファイルの名前が再び脅威にハードコードされています。次に、rundll32.exeが悪用され、ダウンロードされたDLLファイル内の「DF」という名前の関数が呼び出されます。

以前のバージョンの攻撃キャンペーンでは、CampoLoaderはダウンロードして実行できる.exeファイルの形式で配布されていました。また、UrsnifやZloaderなどの次のステージのペイロードを直接実行しました。ただし、最近のバリエーションでは、配信されたペイロードがDFDownloaderに移行している間、DLLバージョンの使用を好む傾向があります。