Nerbian RAT

Penjenayah siber terus menggunakan COVID-19 sebagai tarikan dalam kempen mengancam mereka. Satu operasi sedemikian melibatkan penyebaran e-mel tipuan yang membawa lampiran fail bercampur perisian hasad. Muatan terakhir dalam rantaian jangkitan serangan adalah ancaman yang tidak diketahui sebelum ini bernama Nerbian RAT. Butiran tentang keseluruhan operasi dan alat perisian hasad yang terlibat telah dikeluarkan dalam laporan oleh firma keselamatan perusahaan.

Menurut penemuan pakar keselamatan siber, kempen serangan nampaknya sangat disasarkan, dengan kebanyakan sasaran adalah dari Itali, Sepanyol dan United Kingdom. E-mel gewang itu mendakwa berasal dari Pertubuhan Kesihatan Sedunia (WHO) dan mengandungi arahan serta langkah keselamatan yang berkaitan dengan COVID-19. Mangsa digesa membuka dokumen Microsoft Word yang dilampirkan untuk melihat 'nasihat kesihatan terkini.'

Untuk melihat kandungan fail dengan betul, mangsa mesti mendayakan makro pada sistem mereka. Selepas itu, mereka akan dibentangkan dengan dokumen yang mengandungi langkah-langkah umum mengenai pengasingan diri dan menjaga seseorang yang dijangkiti COVID. Ini hanyalah umpan yang bertujuan untuk menarik perhatian mangsa manakala di latar belakang sistem, makro yang dibenamkan ke dalam dokumen akan menghantar fail muatan bernama 'UpdateUAV.exe.' Ia mengandungi penitis yang ditugaskan untuk mengambil dan melaksanakan RAT Nerbian dari pelayan jauh.

Fungsi Mengancam dan Komunikasi C2

RAT Nerbian ditulis dalam bahasa pengaturcaraan GO sistem-agnostik. Ia disusun untuk sistem 64-bit dan menunjukkan tumpuan penting pada pengelakan pengesanan. Pakar mengenal pasti pelbagai komponen anti-analisis yang tersebar di beberapa peringkat operasi yang berbeza. Ancaman itu juga memanfaatkan banyak perpustakaan sumber terbuka.

Setelah digunakan sepenuhnya, Nerbian RAT boleh memulakan rutin pengelogan kunci, mengambil tangkapan skrin sewenang-wenangnya, melaksanakan arahan pada sistem dan mengeksfiltrasi hasil yang dicapai ke infrastruktur Perintah-dan-Kawalan (C2, C&C) operasi. Penyerang boleh mengubah suai pelbagai aspek ancaman yang berbeza, termasuk hos yang cuba berkomunikasi dengannya, kekerapan pemeriksaan untuk domain C2 dan alamat IP melalui mesej tetap hidup, direktori kerja pilihan, jangka masa apabila RAT aktif dan lain-lain lagi.

RAT Nerbian telah diperhatikan menggunakan dua jenis trafik rangkaian. Yang pertama ialah mesej degupan jantung/kekal-hidup kepada C2. Sebarang komunikasi tambahan dibawa ke atas permintaan POST ke domain C2 dan alamat IP yang dikonfigurasikan. Permintaan ini membawa sejumlah besar data borang HTTP.