Nerbian RAT

Kibernetiniai nusikaltėliai ir toliau naudoja COVID-19 kaip vilioklį savo grėsmingose kampanijose. Viena iš tokių operacijų apima viliojančių el. laiškų, kuriuose yra kenkėjiškų programų prisegamas failo priedas, platinimą. Galutinė naudingoji apkrova atakos infekcijos grandinėje yra anksčiau nežinoma grėsmė, pavadinta Nerbian RAT. Išsami informacija apie visą operaciją ir su ja susijusius kenkėjiškų programų įrankius buvo paskelbta įmonės saugos įmonės ataskaitoje.

Remiantis kibernetinio saugumo ekspertų išvadomis, atakų kampanija atrodo labai tikslinga, o dauguma taikinių buvo iš Italijos, Ispanijos ir Jungtinės Karalystės. Viliojimo el. laiškuose teigiama, kad jie yra iš Pasaulio sveikatos organizacijos (PSO), juose pateikiamos instrukcijos ir saugos priemonės, susijusios su COVID-19. Aukos raginamos atidaryti pridedamą „Microsoft Word“ dokumentą, kad pamatytų „naujausius sveikatos patarimus“.

Kad tinkamai matytų failo turinį, aukos savo sistemoje turi įjungti makrokomandas. Vėliau jiems bus pateiktas dokumentas, kuriame būtų nurodyti bendri saviizoliacijos ir COVID užsikrėtusiųjų priežiūros žingsniai. Tai tik apgaulė, skirta atkreipti aukos dėmesį, o sistemos fone į dokumentą įterptos makrokomandos pateiks naudingos apkrovos failą pavadinimu „UpdateUAV.exe“. Jame yra lašintuvas, kuriam pavesta gauti ir vykdyti Nerbian RAT iš nuotolinio serverio.

Grėsmingas funkcionalumas ir C2 komunikacija

„Nerbian RAT“ yra parašyta sistemos agnostine GO programavimo kalba. Jis sukurtas 64 bitų sistemoms ir parodo didelį dėmesį aptikimo vengimui. Ekspertai nustatė kelis antianalizės komponentus, kurie buvo paskirstyti keliuose skirtinguose veiklos etapuose. Ši grėsmė taip pat apima daugybę atvirojo kodo bibliotekų.

Visiškai įdiegtas „Nerbian RAT“ gali inicijuoti klavišų registravimo procedūras, daryti savavališkas ekrano kopijas, vykdyti komandas sistemoje ir išfiltruoti pasiektus rezultatus į operacijos komandų ir valdymo infrastruktūrą (C2, C&C). Užpuolikai gali modifikuoti kelis skirtingus grėsmės aspektus, įskaitant tai, su kokiais pagrindiniais kompiuteriais jie bando susisiekti, C2 domenų ir IP adresų tikrinimo dažnumą palaikomaisiais pranešimais, pageidaujamą darbo katalogą, laiką, per kurį RAT veikia. aktyvus ir daugelis kitų.

Nerbian RAT buvo stebimas naudojant dviejų tipų tinklo srautą. Pirmasis yra paprastas širdies plakimo / išlikimo gyvas pranešimas C2. Bet koks papildomas ryšys perduodamas POST užklausomis į sukonfigūruotus C2 domenus ir IP adresus. Šios užklausos turi daug HTTP formos duomenų.