Nerbian RAT

Cyber kriminalci nastavljaju koristiti COVID-19 kao mamac u svojim prijetećim kampanjama. Jedna takva operacija uključuje širenje lažnih e-poruka koje nose privitak datoteke sa zlonamjernim softverom. Konačni teret u lancu zaraze napada je dosad nepoznata prijetnja pod nazivom Nerbian RAT. Pojedinosti o cijeloj operaciji i uključenim zlonamjernim alatima objavljeni su u izvješću tvrtke za sigurnost poduzeća.

Prema nalazima stručnjaka za kibernetičku sigurnost, čini se da je kampanja napada vrlo ciljana, a većina meta su iz Italije, Španjolske i Ujedinjenog Kraljevstva. E-poruke s mamcima tvrde da su od Svjetske zdravstvene organizacije (WHO) i sadrže upute i sigurnosne mjere povezane s COVID-19. Žrtve se pozivaju da otvore priloženi dokument Microsoft Worda kako bi vidjeli 'najnoviji zdravstveni savjet.'

Da bi ispravno vidjeli sadržaj datoteke, žrtve moraju omogućiti makronaredbe na svom sustavu. Nakon toga bi im predočen dokument s općim koracima u vezi samoizolacije i zbrinjavanja nekoga ko je zaražen COVID-om. Ovo je samo mamac namijenjen da zaokupi pozornost žrtve, dok bi u pozadini sustava makronaredbe ugrađene u dokument isporučivale datoteku korisnog opterećenja pod nazivom 'UpdateUAV.exe.' Sadrži kapalicu kojoj je zadatak dohvaćati i izvršavati Nerbian RAT s udaljenog poslužitelja.

Prijeteća funkcionalnost i C2 komunikacija

Nerbian RAT je napisan u programskom jeziku GO koji je nezavisan od sustava. Sastavljen je za 64-bitne sustave i pokazuje značajan fokus na izbjegavanje otkrivanja. Stručnjaci su identificirali više komponenti antianalize koje su bile raspoređene u nekoliko različitih operativnih faza. Prijetnja također uključuje brojne knjižnice otvorenog koda.

Nakon što se u potpunosti implementira, Nerbian RAT može pokrenuti rutine keylogginga, snimati proizvoljne snimke zaslona, izvršavati naredbe na sustavu i eksfiltrirati postignute rezultate u infrastrukturu zapovijedanja i upravljanja (C2, C&C) operacije. Napadači mogu modificirati više različitih aspekata prijetnje, uključujući s kojim domaćinima pokušava komunicirati, učestalost provjera za C2 domene i IP adrese putem poruka održavanja, željeni radni direktorij, vremenski okvir kada je RAT aktivni i mnogi drugi.

Nerbian RAT promatran je korištenjem dvije vrste mrežnog prometa. Prva je jednostavna poruka otkucaja srca/održavanje života C2. Svaka dodatna komunikacija prenosi se putem POST zahtjeva na konfigurirane C2 domene i IP adrese. Ovi zahtjevi nose veliku količinu podataka HTTP obrasca.