Nerbian RAT

Kyberrikolliset käyttävät edelleen COVID-19:ää houkuttimena uhkaavissa kampanjoissaan. Yksi tällainen toimenpide sisältää houkutussähköpostien levittämisen, joissa on haittaohjelmien sisältämä liitetiedosto. Lopullinen hyötykuorma hyökkäyksen tartuntaketjussa on aiemmin tuntematon uhka nimeltä Nerbian RAT. Yksityiskohdat koko toiminnasta ja siihen liittyvistä haittaohjelmatyökaluista julkaistiin yrityksen tietoturvayrityksen raportissa.

Kyberturvallisuusasiantuntijoiden havaintojen mukaan hyökkäyskampanja näyttää olevan erittäin kohdennettu, ja suurin osa kohteista on Italiasta, Espanjasta ja Isosta-Britanniasta. Viestisähköpostit väittävät olevan peräisin Maailman terveysjärjestöltä (WHO) ja sisältävät COVID-19-virukseen liittyviä ohjeita ja turvatoimenpiteitä. Uhreja kehotetaan avaamaan liitteenä oleva Microsoft Word -asiakirja nähdäkseen "uusimmat terveysohjeet".

Nähdäkseen tiedoston sisällön oikein uhrien on otettava makrot käyttöön järjestelmässään. Myöhemmin heille esitettiin asiakirja, joka sisältää yleiset ohjeet itseeristykseen ja COVID-tartunnan saaneen henkilön hoitamiseen. Tämä on vain houkutus, jonka tarkoituksena on kiinnittää uhrin huomio, kun taas järjestelmän taustalla asiakirjaan upotetut makrot toimittaisivat hyötykuormatiedoston nimeltä "UpdateUAV.exe". Se sisältää dropperin, jonka tehtävänä on noutaa ja suorittaa Nerbian RAT etäpalvelimelta.

Uhkaa toimivuus ja C2-viestintä

Nerbian RAT on kirjoitettu järjestelmäagnostisella GO-ohjelmointikielellä. Se on käännetty 64-bittisille järjestelmille ja osoittaa, että se keskittyy merkittävästi havaitsemisen välttämiseen. Asiantuntijat tunnistivat useita anti-analyysikomponentteja, jotka jakautuivat useisiin eri toimintavaiheisiin. Uhka hyödyntää myös lukuisia avoimen lähdekoodin kirjastoja.

Täysin käyttöönoton jälkeen Nerbian RAT voi käynnistää näppäinlokirutiineja, ottaa mielivaltaisia kuvakaappauksia, suorittaa komentoja järjestelmässä ja suodattaa saavutetut tulokset toiminnan Command-and-Control-infrastruktuuriin (C2, C&C). Hyökkääjät voivat muokata uhan useita eri näkökohtia, mukaan lukien sen, minkä isäntien kanssa se yrittää kommunikoida, C2-verkkotunnusten ja IP-osoitteiden tarkistusten tiheyttä säilytysviestien kautta, ensisijaista työhakemistoa, aikakehystä, jolloin RAT on käytössä. aktiivinen ja monet muut.

Nerbian RAT on havaittu käyttämällä kahden tyyppistä verkkoliikennettä. Ensimmäinen on yksinkertainen syke/pysy hengissä viesti C2:lle. Kaikki lisäviestintä välitetään POST-pyyntöjen kautta määritettyihin C2-alueisiin ja IP-osoitteisiin. Nämä pyynnöt sisältävät suuren määrän HTTP-lomakedataa.