Nerbian RAT

साइबर अपराधीहरूले आफ्नो धम्कीपूर्ण अभियानहरूमा कोभिड-१९ लाई प्रलोभनको रूपमा प्रयोग गर्न जारी राखेका छन्। एउटा यस्तो अपरेसनमा मालवेयर-लेस्ड फाइल एट्याचमेन्ट बोक्ने डिकोइ इमेलहरूको प्रसार समावेश छ। आक्रमणको संक्रमण श्रृंखलामा अन्तिम पेलोड Nerbian RAT नामको पहिले अज्ञात खतरा हो। इन्टरप्राइज सेक्युरिटी फर्मको रिपोर्टमा सम्पूर्ण अपरेसन र संलग्न मालवेयर उपकरणहरूको विवरणहरू जारी गरिएको थियो।

साइबरसेक्युरिटी विज्ञहरूको निष्कर्षका अनुसार, आक्रमण अभियान अत्यधिक लक्षित गरिएको देखिन्छ, जसमा अधिकांश इटाली, स्पेन र युनाइटेड किंगडमका लक्ष्यहरू थिए। प्रलोभन इमेलहरू विश्व स्वास्थ्य संगठन (WHO) बाट आएको दाबी गर्दछ र यसमा COVID-19 सम्बन्धी निर्देशन र सुरक्षा उपायहरू समावेश छन्। पीडितहरूलाई 'नवीनतम स्वास्थ्य सल्लाह' हेर्न संलग्न माइक्रोसफ्ट वर्ड कागजात खोल्न आग्रह गरिएको छ।

फाइलको सामग्रीहरू ठीकसँग हेर्नको लागि, पीडितहरूले आफ्नो प्रणालीमा म्याक्रोहरू सक्षम गर्नुपर्छ। त्यसपछि, उनीहरूलाई सेल्फ-आइसोलेसन र कोभिड संक्रमित कसैको हेरचाह गर्ने सम्बन्धमा सामान्य चरणहरू समावेश भएको कागजात प्रस्तुत गरिनेछ। यो प्रणालीको ब्याकग्राउन्डमा हुँदा पीडितको ध्यान खिच्नको लागि मात्र एउटा डिकोय हो, कागजातमा इम्बेड गरिएका म्याक्रोहरूले 'UpdateUAV.exe' नामको पेलोड फाइल डेलिभर गर्नेछ। यसले रिमोट सर्भरबाट Nerbian RAT ल्याउने र कार्यान्वयन गर्ने काममा ड्रपर समावेश गर्दछ।

धम्की दिने कार्यक्षमता र C2 संचार

Nerbian RAT प्रणाली-अज्ञेयवादी GO प्रोग्रामिङ भाषामा लेखिएको छ। यो 64-बिट प्रणालीहरूको लागि कम्पाइल गरिएको छ र पत्ता लगाउने चोरीमा महत्त्वपूर्ण फोकस प्रदर्शन गर्दछ। विशेषज्ञहरूले धेरै विरोधी-विश्लेषण घटकहरू पहिचान गरे जुन धेरै फरक परिचालन चरणहरूमा फैलिएको थियो। खतराले धेरै खुला स्रोत पुस्तकालयहरूलाई पनि फाइदा पुर्‍याउँछ।

एक पटक पूर्ण रूपमा तैनात भएपछि, Nerbian RAT ले किलगिङ दिनचर्याहरू सुरु गर्न, मनमानी स्क्रिनसटहरू लिन, प्रणालीमा आदेशहरू कार्यान्वयन गर्न, र सम्पन्न परिणामहरूलाई सञ्चालनको आदेश-र-नियन्त्रण पूर्वाधार (C2, C&C) मा बाहिर निकाल्न सक्छ। आक्रमणकारीहरूले खतराका धेरै फरक पक्षहरूलाई परिमार्जन गर्न सक्छन्, जसमा यसले सञ्चार गर्ने प्रयास गर्ने होस्टहरू, जीवित सन्देशहरू मार्फत C2 डोमेनहरू र IP ठेगानाहरूको लागि जाँचको आवृत्ति, मनपर्ने कार्य निर्देशिका, RAT कहिले हुन्छ भन्ने समय सीमा। सक्रिय र धेरै अन्य।

Nerbian RAT दुई प्रकारको नेटवर्क ट्राफिक प्रयोग गरेर अवलोकन गरिएको छ। पहिलो भनेको C2 लाई सरल मुटुको धड्कन/किप-लाइभ सन्देश हो। कुनै पनि अतिरिक्त सञ्चार POST अनुरोधहरू कन्फिगर गरिएको C2 डोमेन र IP ठेगानाहरूमा लगाइन्छ। यी अनुरोधहरूमा HTTP फारम डाटाको ठूलो मात्रा हुन्छ।