Nerbian RAT

Küberkurjategijad kasutavad oma ähvardavates kampaaniates jätkuvalt COVID-19 peibutisena. Üks selline toiming hõlmab pahavaraga seotud failimanust sisaldavate peibutuskirjade levitamist. Rünnaku nakkusahela viimane kasulik koormus on varem tundmatu oht nimega Nerbian RAT. Üksikasjad kogu operatsiooni ja sellega seotud pahavara tööriistade kohta avaldati ettevõtte turvafirma aruandes.

Küberjulgeolekuekspertide järelduste kohaselt näib ründekampaania olevat väga sihitud, kusjuures enamik sihtmärke on pärit Itaaliast, Hispaaniast ja Ühendkuningriigist. Peibutusmeilid väidetavalt pärinevad Maailma Terviseorganisatsioonilt (WHO) ning sisaldavad COVID-19-ga seotud juhiseid ja ohutusmeetmeid. Ohvreid kutsutakse üles avama lisatud Microsoft Wordi dokument, et näha uusimaid tervisenõuandeid.

Faili sisu õigeks nägemiseks peavad ohvrid lubama oma süsteemis makrod. Seejärel esitatakse neile dokument, mis sisaldab üldisi samme eneseisolatsiooni ja COVID-iga nakatunu eest hoolitsemise kohta. See on lihtsalt peibutis, mis on mõeldud ohvri tähelepanu köitmiseks, samas kui süsteemi taustal edastavad dokumenti manustatud makrod kasuliku koormuse faili nimega "UpdateUAV.exe". See sisaldab tilgutit, mille ülesandeks on Nerbian RAT-i toomine ja käivitamine kaugserverist.

Ohtlik funktsionaalsus ja C2-kommunikatsioon

Nerbian RAT on kirjutatud süsteemiagnostilises GO programmeerimiskeeles. See on koostatud 64-bitiste süsteemide jaoks ja keskendub oluliselt tuvastamisest kõrvalehoidmisele. Eksperdid tuvastasid mitu analüüsivastast komponenti, mis olid jaotatud mitme erineva tööetapi vahel. Oht kasutab ka paljusid avatud lähtekoodiga teeke.

Pärast täielikku kasutuselevõttu saab Nerbian RAT käivitada klahvilogimise rutiinid, teha suvalisi ekraanipilte, täita süsteemis käske ja edastada saavutatud tulemused operatsiooni Command-and-Controli infrastruktuuri (C2, C&C). Ründajad saavad muuta ohu mitut erinevat aspekti, sealhulgas seda, milliste hostidega see üritab suhelda, C2-domeenide ja IP-aadresside kontrollimise sagedust elushoidmise sõnumite kaudu, eelistatud töökataloogi, ajavahemikku, millal RAT on aktiivsed ja paljud teised.

Nerbia RAT-i on täheldatud kahte tüüpi võrguliikluse abil. Esimene on lihtne südamelöökide / elushoidmise sõnum C2-le. Igasugune täiendav side edastatakse POST-i päringute kaudu konfigureeritud C2 domeenidele ja IP-aadressidele. Need päringud sisaldavad suurel hulgal HTTP-vormi andmeid.