Nerbian RAT

Cyberkriminelle fortsætter med at bruge COVID-19 som lokkemiddel i deres truende kampagner. En sådan operation involverer spredning af lokke-e-mails med en vedhæftet fil med malware. Den sidste nyttelast i angrebets infektionskæde er en hidtil ukendt trussel ved navn Nerbian RAT. Detaljer om hele operationen og de involverede malware-værktøjer blev offentliggjort i en rapport fra et sikkerhedsfirma.

Ifølge resultaterne af cybersikkerhedseksperter ser angrebskampagnen ud til at være meget målrettet, hvor de fleste af målene er fra Italien, Spanien og Storbritannien. De lokkemails hævder at være fra Verdenssundhedsorganisationen (WHO) og indeholder instruktioner og sikkerhedsforanstaltninger relateret til COVID-19. Ofre opfordres til at åbne det vedhæftede Microsoft Word-dokument for at se de 'seneste sundhedsråd.'

For at kunne se indholdet af filen korrekt, skal ofrene aktivere makroer på deres system. Bagefter vil de blive præsenteret for et dokument, der indeholder generelle trin vedrørende selvisolering og pleje af en person, der er inficeret med COVID. Dette er blot et lokkemiddel beregnet til at optage opmærksomheden hos offeret, mens de makroer, der er indlejret i dokumentet i systemets baggrund, vil levere en nyttelastfil ved navn 'UpdateUAV.exe.' Den indeholder en dropper, der har til opgave at hente og udføre den nerbiske RAT fra en fjernserver.

Truende funktionalitet og C2-kommunikation

Den nerbiske RAT er skrevet i det systemagnostiske GO programmeringssprog. Den er kompileret til 64-bit systemer og demonstrerer et betydeligt fokus på detekteringsunddragelse. Eksperter identificerede flere antianalysekomponenter, der var spredt over flere forskellige operationelle stadier. Truslen udnytter også adskillige open source-biblioteker.

Når den er fuldt implementeret, kan Nerbian RAT starte keylogging-rutiner, tage vilkårlige skærmbilleder, udføre kommandoer på systemet og eksfiltrere de opnåede resultater til operationens Command-and-Control-infrastruktur (C2, C&C). Angriberne kan ændre flere forskellige aspekter af truslen, herunder hvilke værter den forsøger at kommunikere med, hyppigheden af kontrollerne for C2-domæner og IP-adresser via keep-alive-meddelelser, den foretrukne arbejdsmappe, tidsrammen for hvornår RAT er aktive og mange andre.

Den nerbiske RAT er blevet observeret ved brug af to typer netværkstrafik. Den første er en simpel besked om hjerteslag/hold i live til C2. Enhver yderligere kommunikation overføres via POST-anmodninger til de konfigurerede C2-domæner og IP-adresser. Disse anmodninger indeholder en stor mængde HTTP-formulardata.