Nerbian RAT

Nerbian RAT বিবরণ

সাইবার অপরাধীরা তাদের হুমকি প্রচারণার প্রলোভন হিসাবে COVID-19 ব্যবহার করে চলেছে। এই ধরনের একটি ক্রিয়াকলাপের মধ্যে একটি ম্যালওয়্যার-লেসযুক্ত ফাইল সংযুক্তি বহনকারী ডিকয় ইমেলগুলির বিস্তার জড়িত। আক্রমণের সংক্রমণ শৃঙ্খলে চূড়ান্ত পেলোড হল Nerbian RAT নামক পূর্বে অজানা হুমকি। একটি এন্টারপ্রাইজ সিকিউরিটি ফার্মের একটি প্রতিবেদনে সমগ্র অপারেশন এবং জড়িত ম্যালওয়্যার টুলস সম্পর্কে বিশদ প্রকাশ করা হয়েছে।

সাইবারসিকিউরিটি বিশেষজ্ঞদের অনুসন্ধান অনুসারে, আক্রমণ অভিযানটি অত্যন্ত লক্ষ্যবস্তু বলে মনে হচ্ছে, বেশিরভাগ লক্ষ্য ইতালি, স্পেন এবং যুক্তরাজ্য থেকে। প্রলোভনমূলক ইমেলগুলি বিশ্ব স্বাস্থ্য সংস্থা (WHO) এর বলে দাবি করে এবং এতে COVID-19 সম্পর্কিত নির্দেশাবলী এবং সুরক্ষা ব্যবস্থা রয়েছে। 'সর্বশেষ স্বাস্থ্য পরামর্শ' দেখতে ভিকটিমদের সংযুক্ত মাইক্রোসফট ওয়ার্ড ডকুমেন্টটি খুলতে বলা হচ্ছে।

ফাইলের বিষয়বস্তু সঠিকভাবে দেখতে, ক্ষতিগ্রস্তদের অবশ্যই তাদের সিস্টেমে ম্যাক্রো সক্ষম করতে হবে। তারপরে, তাদের একটি নথি উপস্থাপন করা হবে যেখানে স্ব-বিচ্ছিন্নতা এবং COVID-এ সংক্রামিত কারও যত্ন নেওয়ার বিষয়ে সাধারণ পদক্ষেপগুলি রয়েছে। সিস্টেমের ব্যাকগ্রাউন্ডে থাকাকালীন শিকারের মনোযোগ দখল করার জন্য এটি একটি ছলচাতুরি, নথিতে এমবেড করা ম্যাক্রোগুলি 'UpdateUAV.exe' নামে একটি পেলোড ফাইল সরবরাহ করবে৷ এটিতে একটি ড্রপার রয়েছে যা একটি দূরবর্তী সার্ভার থেকে Nerbian RAT আনা এবং কার্যকর করার দায়িত্ব দেওয়া হয়েছে।

হুমকি কার্যকারিতা এবং C2 যোগাযোগ

Nerbian RAT সিস্টেম-অজ্ঞেয়বাদী GO প্রোগ্রামিং ভাষায় লেখা হয়। এটি 64-বিট সিস্টেমের জন্য কম্পাইল করা হয়েছে এবং সনাক্তকরণ ফাঁকির উপর একটি উল্লেখযোগ্য ফোকাস প্রদর্শন করে। বিশেষজ্ঞরা একাধিক অ্যান্টি-অ্যানালাইসিস উপাদান চিহ্নিত করেছেন যা বিভিন্ন অপারেশনাল পর্যায়ে ছড়িয়ে পড়েছিল। হুমকিটি অনেকগুলি ওপেন সোর্স লাইব্রেরিও লাভ করে।

একবার সম্পূর্ণরূপে নিয়োজিত হলে, Nerbian RAT কী-লগ করার রুটিন শুরু করতে পারে, নির্বিচারে স্ক্রিনশট নিতে পারে, সিস্টেমে কমান্ড চালাতে পারে এবং অপারেশনের কমান্ড-এন্ড-কন্ট্রোল অবকাঠামোতে (C2, C&C) সম্পন্ন ফলাফলগুলিকে এক্সিফল্ট করতে পারে। আক্রমণকারীরা হুমকির একাধিক বিভিন্ন দিক পরিবর্তন করতে পারে, যার মধ্যে এটি কোন হোস্টের সাথে যোগাযোগ করার চেষ্টা করে, C2 ডোমেন এবং আইপি অ্যাড্রেসের জন্য চেকের ফ্রিকোয়েন্সি, কিপ-অ্যালাইভ মেসেজ, পছন্দের ওয়ার্কিং ডিরেক্টরি, সময় ফ্রেম যখন RAT হয় সক্রিয় এবং অন্যান্য অনেক।

Nerbian RAT দুই ধরনের নেটওয়ার্ক ট্রাফিক ব্যবহার করে পর্যবেক্ষণ করা হয়েছে। প্রথমটি হল একটি সাধারণ হার্টবিট/কিপ-লাইভ মেসেজ C2 এর কাছে। কনফিগার করা C2 ডোমেন এবং আইপি ঠিকানাগুলিতে POST অনুরোধের মাধ্যমে যেকোনো অতিরিক্ত যোগাযোগ করা হয়। এই অনুরোধগুলি প্রচুর পরিমাণে HTTP ফর্ম ডেটা বহন করে।