Nerbian RAT

До CagedTech през Remote Administration Toolsг

Превод на:

Киберпрестъпниците продължават да използват COVID-19 като примамка в своите заплашителни кампании. Една такава операция включва разпространението на имейли-примамки, носещи прикачен файл със злонамерен софтуер. Последният полезен товар във веригата на заразяване на атаката е неизвестна досега заплаха, наречена Nerbian RAT. Подробности за цялата операция и замесените инструменти за злонамерен софтуер бяха публикувани в доклад от фирма за сигурност на предприятието.

Според констатациите на експертите по киберсигурност, кампанията за атака изглежда е силно насочена, като повечето от целите са от Италия, Испания и Обединеното кралство. Имейлите за примамка твърдят, че са от Световната здравна организация (СЗО) и съдържат инструкции и мерки за безопасност, свързани с COVID-19. Жертвите са призовани да отворят приложения документ на Microsoft Word, за да видят „най-новите здравни съвети“.

За да видят правилно съдържанието на файла, жертвите трябва да активират макроси в своята система. След това ще им бъде представен документ, съдържащ общи стъпки относно самоизолацията и грижата за някой, заразен с COVID. Това е просто примамка, предназначена да заеме вниманието на жертвата, докато във фонов режим на системата макросите, вградени в документа, ще доставят полезен файл с име „UpdateUAV.exe“. Той съдържа капкомер, натоварен със задачата да извлича и изпълнява Nerbian RAT от отдалечен сървър.

Застрашаваща функционалност и C2 комуникация

Nerbian RAT е написан на независимия от системата език за програмиране GO. Той е компилиран за 64-битови системи и демонстрира значителен фокус върху избягването на откриване. Експертите идентифицираха множество антианализни компоненти, които бяха разпределени в няколко различни оперативни етапа. Заплахата също така използва множество библиотеки с отворен код.

Веднъж напълно разгърнат, Nerbian RAT може да инициира рутинни процедури за keylogging, да прави произволни екранни снимки, да изпълнява команди в системата и да ексфилтрира постигнатите резултати в инфраструктурата за командване и управление (C2, C&C) на операцията. Нападателите могат да променят множество различни аспекти на заплахата, включително с кои хостове се опитва да комуникира, честотата на проверките за C2 домейни и IP адреси чрез поддържащи съобщения, предпочитаната работна директория, времевата рамка, в която RAT е активен и много други.

Nerbian RAT е наблюдаван при използване на два вида мрежов трафик. Първото е просто съобщение за сърдечен ритъм/поддържайте живо до C2. Всяка допълнителна комуникация се пренася чрез POST заявки към конфигурираните C2 домейни и IP адреси. Тези заявки носят голямо количество данни за HTTP формуляр.