Nerbian RAT

פושעי סייבר ממשיכים להשתמש ב-COVID-19 כפיתוי בקמפיינים המאיימים שלהם. פעולה אחת כזו כוללת הפצת הודעות דוא"ל מטעה הנושאות קובץ מצורף עם תוכנות זדוניות. המטען האחרון בשרשרת ההדבקה של המתקפה הוא איום שלא היה ידוע בעבר בשם Nerbian RAT. פרטים על כל המבצע וכלי התוכנה המעורבים פורסמו בדוח של חברת אבטחה ארגונית.

על פי הממצאים של מומחי אבטחת הסייבר, נראה כי מסע התקיפה ממוקד ביותר, כאשר רוב המטרות הן מאיטליה, ספרד ובריטניה. הודעות האימייל הפיתוי טוענות שהן מארגון הבריאות העולמי (WHO) ומכילות הוראות ואמצעי בטיחות הקשורים ל-COVID-19. קוראים לקורבנות לפתוח את מסמך Microsoft Word המצורף כדי לראות את 'עצת הבריאות האחרונה'.

כדי לראות כראוי את תוכן הקובץ, על הקורבנות להפעיל פקודות מאקרו במערכת שלהם. לאחר מכן, יוצג בפניהם מסמך המכיל צעדים כלליים לגבי בידוד עצמי וטיפול באדם שנדבק ב-COVID. זהו רק פתיל שנועד לכבוש את תשומת הלב של הקורבן בעוד ברקע המערכת, פקודות המאקרו המוטמעות במסמך יספקו קובץ מטען בשם 'UpdateUAV.exe'. הוא מכיל טפטפת שמטרתה לאחזר ולבצע את ה-Nerbian RAT משרת מרוחק.

פונקציונליות מאיימת ותקשורת C2

ה-Nerbian RAT כתוב בשפת התכנות GO האגנוסטית של המערכת. הוא מורכב עבור מערכות 64 סיביות ומדגים התמקדות משמעותית בהתחמקות מזיהוי. מומחים זיהו מספר רב של רכיבי אנטי-אנליזה שהתפזרו על פני מספר שלבים תפעוליים שונים. האיום גם ממנף מספר רב של ספריות קוד פתוח.

לאחר הפריסה המלאה, Nerbian RAT יכול ליזום שגרות רישום מקשים, לצלם צילומי מסך שרירותיים, לבצע פקודות במערכת ולסנן את התוצאות שהושגו לתשתית הפקודה והבקרה (C2, C&C) של הפעולה. התוקפים יכולים לשנות מספר היבטים שונים של האיום, לרבות עם אילו מארחים הוא מנסה לתקשר, את תדירות הבדיקות של דומיינים C2 וכתובות IP באמצעות הודעות Keep-alive, ספריית העבודה המועדפת, מסגרת הזמן שבה ה-RAT נמצא. פעיל ורבים אחרים.

ה-Nerbian RAT נצפה באמצעות שני סוגים של תעבורת רשת. הראשון הוא הודעה פשוטה לדופק/לשמור על החיים ל-C2. כל תקשורת נוספת מועברת על פני בקשות POST לדומיינים וכתובות ה-IP המוגדרות של C2. בקשות אלו נושאות כמות גדולה של נתוני טופס HTTP.