Nerbian RAT

مجرمان سایبری به استفاده از COVID-19 به عنوان یک فریب در کمپین های تهدیدآمیز خود ادامه می دهند. یکی از این عملیات شامل انتشار ایمیل های فریبنده حاوی فایل پیوست شده با بدافزار است. محموله نهایی در زنجیره عفونت حمله یک تهدید ناشناخته به نام Nerbian RAT است. جزئیات مربوط به کل عملیات و ابزارهای بدافزار درگیر در گزارشی توسط یک شرکت امنیتی سازمانی منتشر شد.

بر اساس یافته‌های کارشناسان امنیت سایبری، به نظر می‌رسد که کمپین حمله به شدت هدفمند بوده و بیشتر اهداف از ایتالیا، اسپانیا و بریتانیا بوده است. ایمیل‌های فریبنده ادعا می‌کنند که از سازمان بهداشت جهانی (WHO) هستند و حاوی دستورالعمل‌ها و اقدامات ایمنی مرتبط با COVID-19 هستند. از قربانیان خواسته می‌شود برای مشاهده آخرین توصیه‌های بهداشتی، سند Microsoft Word پیوست شده را باز کنند.

برای مشاهده صحیح محتویات فایل، قربانیان باید ماکروها را در سیستم خود فعال کنند. پس از آن، سندی حاوی مراحل کلی در مورد خود انزوا و مراقبت از فرد مبتلا به کووید به آنها ارائه می شود. این فقط یک طعمه برای جلب توجه قربانی است در حالی که در پس‌زمینه سیستم، ماکروهای تعبیه‌شده در سند یک فایل باری به نام «UpdateUAV.exe» را تحویل می‌دهند. این شامل یک قطره چکان است که وظیفه واکشی و اجرای Nerbian RAT را از یک سرور راه دور دارد.

عملکرد تهدید کننده و ارتباط C2

Nerbian RAT به زبان برنامه نویسی سیستمی GO نوشته شده است. این برای سیستم های 64 بیتی کامپایل شده است و تمرکز قابل توجهی بر فرار از تشخیص نشان می دهد. کارشناسان چندین مؤلفه ضد تجزیه و تحلیل را شناسایی کردند که در چندین مرحله عملیاتی مختلف پخش شده بودند. این تهدید همچنین از تعداد زیادی کتابخانه منبع باز استفاده می کند.

پس از استقرار کامل، Nerbian RAT می‌تواند روال‌های keylogging را آغاز کند، اسکرین‌شات‌های دلخواه بگیرد، دستورات را روی سیستم اجرا کند و نتایج به دست‌آمده را به زیرساخت‌های Command-and-Control (C2, C&C) عملیات منتقل کند. مهاجمان می‌توانند جنبه‌های مختلف تهدید را تغییر دهند، از جمله میزبان‌هایی که می‌خواهند با آن‌ها ارتباط برقرار کنند، دفعات بررسی دامنه‌های C2 و آدرس‌های IP از طریق پیام‌های نگه‌دارنده، فهرست کاری ترجیحی، بازه زمانی زمانی که RAT است. فعال و بسیاری دیگر.

Nerbian RAT با استفاده از دو نوع ترافیک شبکه مشاهده شده است. اولین مورد یک پیام ساده ضربان قلب/زنده نگه داشتن به C2 است. هرگونه ارتباط اضافی از طریق درخواست های POST به دامنه های پیکربندی شده C2 و آدرس های IP منتقل می شود. این درخواست ها حجم زیادی از داده های فرم HTTP را حمل می کنند.