Nerbian RAT

A kiberbűnözők továbbra is csaliként használják a COVID-19-et fenyegető kampányaikban. Az egyik ilyen művelet magában foglalja a csaló e-mailek terjesztését, amelyek rosszindulatú programokkal ellátott fájlmellékletet tartalmaznak. A támadás fertőzési láncának utolsó hasznos terhe egy korábban ismeretlen fenyegetés, a Nerbian RAT. A teljes műveletről és az érintett kártevő-eszközökről egy vállalati biztonsági cég jelentésében számoltak be.

A kiberbiztonsági szakértők megállapításai szerint a támadási kampány erősen célzottnak tűnik, a legtöbb célpont Olaszországból, Spanyolországból és az Egyesült Királyságból származik. A csalogató e-mailek azt állítják, hogy az Egészségügyi Világszervezettől (WHO) érkeztek, és a COVID-19-hez kapcsolódó utasításokat és biztonsági intézkedéseket tartalmaznak. Arra kérik az áldozatokat, hogy nyissa meg a mellékelt Microsoft Word dokumentumot, hogy megtekintsék a „legújabb egészségügyi tanácsokat”.

A fájl tartalmának megfelelő megtekintéséhez az áldozatoknak engedélyezniük kell a makrókat a rendszerükön. Ezt követően egy dokumentumot kapnak, amely általános lépéseket tartalmaz az önelszigeteléssel és a COVID-fertőzöttek gondozásával kapcsolatban. Ez csak egy csali, amelynek célja az áldozat figyelmét lefoglalni, miközben a rendszer hátterében a dokumentumba beágyazott makrók egy „UpdateUAV.exe” nevű hasznos fájlt szállítanak. Tartalmaz egy droppert, amelynek feladata a Nerbian RAT lekérése és végrehajtása egy távoli szerverről.

Fenyegető funkcionalitás és C2 kommunikáció

A Nerbian RAT rendszer-agnosztikus GO programozási nyelven íródott. 64 bites rendszerekhez készült, és jelentős hangsúlyt fektet az észlelés elkerülésére. A szakértők több antianalízis-komponenst azonosítottak, amelyek több különböző működési szakaszban voltak elosztva. A fenyegetés számos nyílt forráskódú könyvtárat is kihasznál.

A teljes üzembe helyezés után a Nerbian RAT indíthat billentyűnaplózási rutinokat, tetszőleges képernyőképeket készíthet, parancsokat hajthat végre a rendszeren, és az elért eredményeket kiszűrheti a művelet Command-and-Control infrastruktúrájába (C2, C&C). A támadók módosíthatják a fenyegetés több különböző aspektusát, beleértve azt, hogy mely gazdagépekkel próbál kommunikálni, a C2 tartományok és IP-címek ellenőrzésének gyakoriságát életben tartó üzenetekkel, a preferált munkakönyvtárat, a RAT időkeretét. aktív és még sokan mások.

A Nerbian RAT kétféle hálózati forgalom felhasználásával figyelhető meg. Az első egy egyszerű szívverés/életben tartás üzenet a C2-nek. Minden további kommunikáció a POST kéréseken keresztül történik a konfigurált C2 tartományokhoz és IP-címekhez. Ezek a kérések nagy mennyiségű HTTP-űrlapadatot hordoznak.