Nerbian RAT

Οι εγκληματίες του κυβερνοχώρου συνεχίζουν να χρησιμοποιούν το COVID-19 ως δέλεαρ στις απειλητικές εκστρατείες τους. Μια τέτοια λειτουργία περιλαμβάνει τη διάδοση email παραπλανήσεων που φέρουν ένα συνημμένο αρχείο με κακόβουλο λογισμικό. Το τελικό ωφέλιμο φορτίο στην αλυσίδα μόλυνσης της επίθεσης είναι μια προηγουμένως άγνωστη απειλή που ονομάζεται Nerbian RAT. Λεπτομέρειες σχετικά με την όλη λειτουργία και τα εμπλεκόμενα εργαλεία κακόβουλου λογισμικού κυκλοφόρησαν σε μια έκθεση μιας εταιρείας ασφάλειας επιχειρήσεων.

Σύμφωνα με τα ευρήματα των ειδικών στον κυβερνοχώρο, η εκστρατεία επίθεσης φαίνεται να είναι ιδιαίτερα στοχευμένη, με τους περισσότερους στόχους να προέρχονται από την Ιταλία, την Ισπανία και το Ηνωμένο Βασίλειο. Τα μηνύματα ηλεκτρονικού ταχυδρομείου με δέλεαρ ισχυρίζονται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ) και περιέχουν οδηγίες και μέτρα ασφαλείας που σχετίζονται με τον COVID-19. Τα θύματα προτρέπονται να ανοίξουν το συνημμένο έγγραφο του Microsoft Word για να δουν τις «πιο πρόσφατες συμβουλές υγείας».

Για να δουν σωστά τα περιεχόμενα του αρχείου, τα θύματα πρέπει να ενεργοποιήσουν τις μακροεντολές στο σύστημά τους. Στη συνέχεια, θα τους παρουσιαστεί ένα έγγραφο που θα περιέχει γενικά βήματα σχετικά με την αυτοαπομόνωση και τη φροντίδα κάποιου μολυσμένου με COVID. Αυτό είναι απλώς ένα δόλωμα που προορίζεται να τραβήξει την προσοχή του θύματος, ενώ στο παρασκήνιο του συστήματος, οι μακροεντολές που είναι ενσωματωμένες στο έγγραφο θα παρέδιδαν ένα αρχείο ωφέλιμου φορτίου με το όνομα "UpdateUAV.exe". Περιέχει ένα σταγονόμετρο που έχει ως αποστολή την ανάκτηση και την εκτέλεση του Nerbian RAT από έναν απομακρυσμένο διακομιστή.

Απειλητική Λειτουργικότητα και C2 Επικοινωνία

Το Nerbian RAT είναι γραμμένο στη γλώσσα προγραμματισμού GO που είναι αγνωστική του συστήματος. Έχει μεταγλωττιστεί για συστήματα 64-bit και επιδεικνύει σημαντική εστίαση στην αποφυγή εντοπισμού. Οι ειδικοί εντόπισαν πολλαπλά στοιχεία αντι-ανάλυσης που κατανεμήθηκαν σε πολλά διαφορετικά επιχειρησιακά στάδια. Η απειλή αξιοποιεί επίσης πολλές βιβλιοθήκες ανοιχτού κώδικα.

Μόλις αναπτυχθεί πλήρως, το Nerbian RAT μπορεί να εκκινήσει ρουτίνες καταγραφής πληκτρολογίων, να τραβήξει αυθαίρετα στιγμιότυπα οθόνης, να εκτελέσει εντολές στο σύστημα και να διευρύνει τα επιτευχθέντα αποτελέσματα στην υποδομή Command-and-Control (C2, C&C) της λειτουργίας. Οι εισβολείς μπορούν να τροποποιήσουν πολλές διαφορετικές πτυχές της απειλής, συμπεριλαμβανομένων των κεντρικών υπολογιστών με τους οποίους προσπαθεί να επικοινωνήσει, τη συχνότητα των ελέγχων για τομείς C2 και διευθύνσεις IP μέσω μηνυμάτων διατήρησης, τον προτιμώμενο κατάλογο εργασίας, το χρονικό πλαίσιο για το πότε ο RAT είναι ενεργό και πολλά άλλα.

Το Nerbian RAT έχει παρατηρηθεί χρησιμοποιώντας δύο τύπους κίνησης δικτύου. Το πρώτο είναι ένα απλό μήνυμα καρδιακού παλμού/διατήρησης ζωής στο C2. Οποιαδήποτε πρόσθετη επικοινωνία μεταφέρεται μέσω αιτημάτων POST στους διαμορφωμένους τομείς C2 και διευθύνσεις IP. Αυτά τα αιτήματα φέρουν μεγάλο όγκο δεδομένων φόρμας HTTP.