Nerbian RAT

साइबर अपराधी अपने धमकी भरे अभियानों में COVID-19 को लालच के रूप में इस्तेमाल करना जारी रखे हुए हैं। इस तरह के एक ऑपरेशन में मैलवेयर युक्त फ़ाइल अटैचमेंट वाले नकली ईमेल का प्रसार शामिल है। हमले की संक्रमण श्रृंखला में अंतिम पेलोड नर्बियन आरएटी नामक एक पूर्व अज्ञात खतरा है। एक एंटरप्राइज़ सुरक्षा फर्म की एक रिपोर्ट में पूरे ऑपरेशन और शामिल मैलवेयर टूल के बारे में विवरण जारी किया गया था।

साइबर सुरक्षा विशेषज्ञों के निष्कर्षों के अनुसार, हमले का अभियान अत्यधिक लक्षित प्रतीत होता है, जिसमें अधिकांश लक्ष्य इटली, स्पेन और यूनाइटेड किंगडम के हैं। लुभावने ईमेल विश्व स्वास्थ्य संगठन (WHO) के होने का दावा करते हैं और इसमें COVID-19 से संबंधित निर्देश और सुरक्षा उपाय शामिल हैं। पीड़ितों से 'नवीनतम स्वास्थ्य सलाह' देखने के लिए संलग्न माइक्रोसॉफ्ट वर्ड दस्तावेज़ को खोलने का आग्रह किया जाता है।

फ़ाइल की सामग्री को ठीक से देखने के लिए, पीड़ितों को अपने सिस्टम पर मैक्रोज़ को सक्षम करना होगा। बाद में, उन्हें एक दस्तावेज के साथ प्रस्तुत किया जाएगा जिसमें आत्म-अलगाव और COVID से संक्रमित किसी व्यक्ति की देखभाल करने के बारे में सामान्य कदम होंगे। यह केवल पीड़ित का ध्यान आकर्षित करने के लिए एक प्रलोभन है, जबकि सिस्टम की पृष्ठभूमि में, दस्तावेज़ में एम्बेडेड मैक्रोज़ 'UpdateUAV.exe' नामक एक पेलोड फ़ाइल वितरित करेंगे। इसमें एक ड्रॉपर होता है जिसे दूरस्थ सर्वर से नर्बियन आरएटी लाने और निष्पादित करने का काम सौंपा जाता है।

खतरनाक कार्यक्षमता और C2 संचार

Nerbian RAT सिस्टम-अज्ञेयवादी GO प्रोग्रामिंग भाषा में लिखा गया है। इसे 64-बिट सिस्टम के लिए संकलित किया गया है और यह पता लगाने की चोरी पर एक महत्वपूर्ण ध्यान केंद्रित करता है। विशेषज्ञों ने कई विरोधी विश्लेषण घटकों की पहचान की जो कई अलग-अलग परिचालन चरणों में फैले हुए थे। खतरा कई ओपन-सोर्स लाइब्रेरी का भी लाभ उठाता है।

एक बार पूरी तरह से तैनात होने के बाद, Nerbian RAT कीलॉगिंग रूटीन शुरू कर सकता है, मनमाना स्क्रीनशॉट ले सकता है, सिस्टम पर कमांड निष्पादित कर सकता है, और ऑपरेशन के कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर (C2, C & C) में निपुण परिणामों को एक्सफ़िल्टर कर सकता है। हमलावर खतरे के कई अलग-अलग पहलुओं को संशोधित कर सकते हैं, जिसमें मेजबान के साथ संवाद करने की कोशिश करता है, सी 2 डोमेन के लिए चेक की आवृत्ति और आईपी पते को जीवित संदेशों के माध्यम से, पसंदीदा कार्यशील निर्देशिका, समय सीमा जब आरएटी है सक्रिय और कई अन्य।

Nerbian RAT को दो प्रकार के नेटवर्क ट्रैफ़िक का उपयोग करते हुए देखा गया है। पहला C2 के लिए एक साधारण दिल की धड़कन/रख-रखाव संदेश है। किसी भी अतिरिक्त संचार को POST अनुरोधों पर कॉन्फ़िगर किए गए C2 डोमेन और IP पतों पर ले जाया जाता है। इन अनुरोधों में बड़ी मात्रा में HTTP प्रपत्र डेटा होता है।