Nerbian RAT

Kibernoziedznieki turpina izmantot COVID-19 kā vilinājumu savās draudošajās kampaņās. Viena no šādām operācijām ietver mānekļu e-pasta ziņojumu izplatīšanu ar ļaunprātīgu programmatūru saturošu failu pielikumu. Pēdējā slodze uzbrukuma infekcijas ķēdē ir iepriekš nezināms drauds ar nosaukumu Nerbian RAT. Sīkāka informācija par visu darbību un iesaistītajiem ļaunprātīgas programmatūras rīkiem tika publicēta uzņēmuma drošības firmas ziņojumā.

Saskaņā ar kiberdrošības ekspertu konstatējumiem, šķiet, ka uzbrukuma kampaņa ir ļoti mērķtiecīga, un lielākā daļa mērķu ir no Itālijas, Spānijas un Apvienotās Karalistes. Tiek apgalvots, ka vilinājuma e-pasta ziņojumi ir no Pasaules Veselības organizācijas (PVO), un tajos ir instrukcijas un drošības pasākumi saistībā ar Covid-19. Cietušie tiek mudināti atvērt pievienoto Microsoft Word dokumentu, lai redzētu "jaunākos ieteikumus par veselību".

Lai pareizi redzētu faila saturu, cietušajiem savā sistēmā ir jāiespējo makro. Pēc tam viņiem tiks iesniegts dokuments ar vispārīgiem soļiem attiecībā uz pašizolāciju un ar COVID inficētu personu aprūpi. Tas ir tikai māneklis, kas paredzēts, lai piesaistītu upura uzmanību, kamēr sistēmas fonā dokumentā iegultie makro nodrošinātu lietderīgās slodzes failu ar nosaukumu “UpdateUAV.exe”. Tajā ir pilinātājs, kura uzdevums ir ienest un izpildīt Nerbian RAT no attālā servera.

Apdraudoša funkcionalitāte un C2 komunikācija

Nerbian RAT ir rakstīts sistēmas agnostiskā GO programmēšanas valodā. Tas ir apkopots 64 bitu sistēmām, un tajā ir liela uzmanība pievērsta izvairīšanās no atklāšanas. Eksperti identificēja vairākus pretanalīzes komponentus, kas tika sadalīti vairākos dažādos darbības posmos. Draudi ietekmē arī daudzas atvērtā pirmkoda bibliotēkas.

Pēc pilnīgas izvietošanas Nerbian RAT var sākt taustiņu reģistrēšanas rutīnas, uzņemt patvaļīgus ekrānuzņēmumus, izpildīt komandas sistēmā un iegūtos rezultātus pārsūtīt operācijas komandu un vadības infrastruktūrā (C2, C&C). Uzbrucēji var mainīt vairākus dažādus apdraudējuma aspektus, tostarp to, ar kuriem resursdatoriem tie mēģina sazināties, C2 domēnu un IP adrešu pārbaužu biežumu, izmantojot saglabāšanas ziņojumus, vēlamo darba direktoriju, laika posmu, kad RAT tiek aktivizēts. aktīvs un daudzi citi.

Nerbian RAT ir novērots, izmantojot divu veidu tīkla trafiku. Pirmais ir vienkāršs sirdsdarbības/paturēt dzīvs ziņojums C2. Jebkāda papildu saziņa tiek pārsūtīta POST pieprasījumos uz konfigurētajiem C2 domēniem un IP adresēm. Šie pieprasījumi satur lielu HTTP veidlapas datu apjomu.