Nerbian RAT

Kyberzločinci nadále využívají COVID-19 jako návnadu ve svých výhružných kampaních. Jedna taková operace zahrnuje šíření klamných e-mailů s přílohou souboru s malwarem. Konečným nákladem v infekčním řetězci útoku je dříve neznámá hrozba jménem Nerbian RAT. Podrobnosti o celé operaci a příslušných malwarových nástrojích byly zveřejněny ve zprávě podnikové bezpečnostní firmy.

Podle zjištění expertů na kybernetickou bezpečnost se útočná kampaň zdá být vysoce cílená, přičemž většina cílů pochází z Itálie, Španělska a Spojeného království. E-maily s návnadami tvrdí, že pocházejí od Světové zdravotnické organizace (WHO) a obsahují pokyny a bezpečnostní opatření související s COVID-19. Oběti jsou vyzývány, aby si otevřely přiložený dokument Microsoft Word a prohlédly si „nejnovější zdravotní rady“.

Aby oběť správně viděla obsah souboru, musí ve svém systému povolit makra. Poté by jim byl předložen dokument obsahující obecné kroky týkající se sebeizolace a péče o někoho nakaženého COVID. Toto je jen návnada, která má zaujmout pozornost oběti, zatímco na pozadí systému by makra vložená do dokumentu doručila soubor užitečného zatížení s názvem 'UpdateUAV.exe'. Obsahuje kapátko, které má za úkol načíst a spustit Nerbian RAT ze vzdáleného serveru.

Ohrožující funkčnost a komunikace C2

Nerbian RAT je napsán v systémovém programovacím jazyce GO. Je sestaven pro 64bitové systémy a demonstruje významné zaměření na obcházení detekce. Odborníci identifikovali několik antianalytických komponent, které byly rozmístěny v několika různých provozních fázích. Hrozba také využívá četné open source knihovny.

Po plném nasazení může Nerbian RAT iniciovat rutiny pro záznam kláves, pořizovat libovolné snímky obrazovky, provádět příkazy v systému a exfiltrovat dosažené výsledky do infrastruktury Command-and-Control (C2, C&C) operace. Útočníci mohou upravit několik různých aspektů hrozby, včetně toho, se kterými hostiteli se snaží komunikovat, frekvence kontrol domén C2 a IP adres prostřednictvím udržovacích zpráv, preferovaný pracovní adresář, časový rámec, kdy je RAT aktivní a mnoho dalších.

Nerbian RAT byl pozorován pomocí dvou typů síťového provozu. První z nich je jednoduchá zpráva o srdečním tepu/udržení naživu pro C2. Jakákoli další komunikace je přenášena prostřednictvím požadavků POST na nakonfigurované domény C2 a adresy IP. Tyto požadavky přenášejí velké množství dat formuláře HTTP.