Nerbian RAT

Nerbian RAT الوصف

يواصل مجرمو الإنترنت استخدام COVID-19 كإغراء في حملاتهم التهديدية. تتضمن إحدى هذه العمليات نشر رسائل البريد الإلكتروني الخادعة التي تحمل مرفق ملف مرتبط ببرامج ضارة. الحمولة النهائية في سلسلة العدوى للهجوم هي تهديد غير معروف سابقًا يُدعى Nerbian RAT. تم إصدار تفاصيل حول العملية بأكملها وأدوات البرامج الضارة المعنية في تقرير صادر عن شركة أمن مؤسسية.

وفقًا لنتائج خبراء الأمن السيبراني ، يبدو أن حملة الهجوم مستهدفة بشكل كبير ، حيث جاءت معظم الأهداف من إيطاليا وإسبانيا والمملكة المتحدة. تدعي رسائل البريد الإلكتروني المغرية أنها من منظمة الصحة العالمية (WHO) وتحتوي على تعليمات وإجراءات السلامة المتعلقة بـ COVID-19. يتم حث الضحايا على فتح مستند Microsoft Word المرفق للاطلاع على "أحدث النصائح الصحية".

لمشاهدة محتويات الملف بشكل صحيح ، يجب على الضحايا تمكين وحدات الماكرو على نظامهم. بعد ذلك ، سيتم تقديم مستند يحتوي على خطوات عامة فيما يتعلق بالعزل الذاتي والعناية بشخص مصاب بفيروس COVID. هذا مجرد خدعة تهدف إلى جذب انتباه الضحية أثناء وجوده في خلفية النظام ، تقوم وحدات الماكرو المضمنة في المستند بتسليم ملف حمولة يسمى "UpdateUAV.exe". يحتوي على قطارة مهمتها جلب وتنفيذ Nerbian RAT من خادم بعيد.

تهديد الوظيفة والاتصالات C2

تمت كتابة Nerbian RAT بلغة برمجة GO الحيادية للنظام. تم تجميعه لأنظمة 64 بت ويظهر تركيزًا كبيرًا على التهرب من الكشف. حدد الخبراء العديد من المكونات المضادة للتحليل التي انتشرت عبر عدة مراحل تشغيلية مختلفة. يستفيد التهديد أيضًا من العديد من المكتبات مفتوحة المصدر.

بمجرد النشر الكامل ، يمكن لـ Nerbian RAT بدء إجراءات تسجيل لوحة المفاتيح ، والتقاط لقطات شاشة عشوائية ، وتنفيذ أوامر على النظام ، وإخراج النتائج المحققة إلى البنية التحتية للقيادة والتحكم (C2 ، C&C) للعملية. يمكن للمهاجمين تعديل جوانب مختلفة متعددة من التهديد ، بما في ذلك المضيفين الذين يحاول التواصل معهم ، وتكرار عمليات التحقق من نطاقات C2 وعناوين IP عبر رسائل البقاء على قيد الحياة ، ودليل العمل المفضل ، والإطار الزمني عندما يكون RAT نشط والعديد من الآخرين.

لوحظ استخدام RAT النيربيان باستخدام نوعين من حركة مرور الشبكة. الأول عبارة عن رسالة نبضات قلب بسيطة إلى C2. يتم نقل أي اتصال إضافي عبر طلبات POST إلى مجالات C2 المكوّنة وعناوين IP. تحمل هذه الطلبات قدرًا كبيرًا من بيانات نموذج HTTP.