Nerbian RAT

사이버 범죄자들은 계속해서 COVID-19를 위협적인 캠페인의 미끼로 사용하고 있습니다. 그러한 작업 중 하나는 악성코드 첨부 파일을 포함하는 미끼 이메일을 유포하는 것과 관련이 있습니다. 공격 감염 체인의 최종 페이로드는 Nerbian RAT라는 이전에 알려지지 않은 위협입니다. 전체 작업 및 관련된 맬웨어 도구에 대한 세부 정보는 엔터프라이즈 보안 회사의 보고서에서 발표되었습니다.

사이버 보안 전문가의 조사 결과에 따르면 공격 캠페인은 고도로 표적화된 것으로 보이며 대부분의 표적은 이탈리아, 스페인, 영국입니다. 루어 이메일은 세계보건기구(WHO)에서 보낸 것이라고 주장하며 COVID-19와 관련된 지침 및 안전 조치를 포함하고 있습니다. 피해자들은 첨부된 마이크로소프트 워드 문서를 열어 '최신 건강 조언'을 볼 것을 당부했다.

파일의 내용을 제대로 보려면 피해자는 시스템에서 매크로를 활성화해야 합니다. 그 후, 자가격리 및 COVID에 감염된 사람을 돌보는 것과 관련된 일반적인 단계가 포함된 문서를 받게 됩니다. 이것은 시스템 배경에서 문서에 포함된 매크로가 'UpdateUAV.exe'라는 페이로드 파일을 전달하는 동안 피해자의 주의를 끌기 위한 미끼일 뿐입니다. 여기에는 원격 서버에서 Nerbian RAT를 가져오고 실행하는 드로퍼가 포함되어 있습니다.

위협적인 기능 및 C2 통신

Nerbian RAT는 시스템에 구애받지 않는 GO 프로그래밍 언어로 작성되었습니다. 64비트 시스템용으로 컴파일되었으며 탐지 회피에 중점을 둡니다. 전문가들은 여러 운영 단계에 걸쳐 분산되어 있는 여러 안티 분석 구성 요소를 식별했습니다. 위협은 또한 수많은 오픈 소스 라이브러리를 활용합니다.

완전히 배포되면 Nerbian RAT는 키로깅 루틴을 시작하고, 임의의 스크린샷을 찍고, 시스템에서 명령을 실행하고, 완료된 결과를 작업의 명령 및 제어 인프라(C2, C&C)로 유출할 수 있습니다. 공격자는 통신을 시도하는 호스트, 연결 유지 메시지를 통한 C2 도메인 및 IP 주소 확인 빈도, 기본 작업 디렉터리, RAT가 실행되는 시간 등 위협의 여러 측면을 수정할 수 있습니다. 활동적이고 많은 다른 사람들.

Nerbian RAT는 두 가지 유형의 네트워크 트래픽을 사용하여 관찰되었습니다. 첫 번째는 C2에 대한 간단한 하트비트/연결 유지 메시지입니다. 추가 통신은 구성된 C2 도메인 및 IP 주소에 대한 POST 요청을 통해 전달됩니다. 이러한 요청은 많은 양의 HTTP 양식 데이터를 전달합니다.