NginRAT

Киберпрестъпниците внедряват нова заплаха за троянски кон за отдалечен достъп (RAT), наречена NginRAT при атаки срещу сървъри за електронна търговия. Целта на заплашващата операция е да събере информация за платежни карти от компрометирани онлайн магазини. Досега жертви на NginRAT са идентифицирани в Северна Америка, Германия и Франция.

Техниките за избягване, използвани от NginRAT, правят изключително трудно да бъдеш хванат от решения за сигурност. Заплахата отвлича приложението Nginx на хоста, като променя основната функционалност на хост системата на Linux. По-конкретно, когато легитимният уеб сървър на Nginx изпълнява функционалност, като dlopen , NginRAT я прихваща и се инжектира. В резултат на това RAT става неразличим от легитимен процес.

Според охранителната компания, която е анализирала заплахата NginRAT, има начин да се покажат компрометираните процеси. Заплахата използва LD_L1BRARY_PATH (с печатна грешка), така че изследователите препоръчват да изпълните следната команда:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v себе си/

/proc/17199/environ

/proc/25074/e nviron

Те също така откриха, че NginRAT е доставен на целевите сървъри от друг злонамерен софтуер RAT на име CronRAT . Двете заплахи изпълняват една и съща роля – осигуряват бекдор достъп до заразената машина, но разчитат на различни методи. Например, CronRAT скрива повредения си код във валидни планирани задачи, които никога няма да бъдат изпълнени, защото са настроени да се изпълняват на несъществуващи дати, като 31 февруари.

Тъй като и двете заплахи са наблюдавани едновременно, ако NginRAT бъде намерен на сървър, администраторите също трябва да проверят задачите на cron за признаци на повреден код, който може да бъде скрит там от CronRAT.