Nerbian RAT

Nerbian RAT Beschrijving

Cybercriminelen blijven COVID-19 gebruiken als lokmiddel in hun dreigende campagnes. Een dergelijke operatie omvat de verspreiding van valse e-mails met een bestandsbijlage vol malware. De laatste lading in de infectieketen van de aanval is een voorheen onbekende bedreiging genaamd Nerbian RAT. Details over de hele operatie en de betrokken malwaretools zijn vrijgegeven in een rapport van een beveiligingsbedrijf.

Volgens de bevindingen van de cybersecurity-experts lijkt de aanvalscampagne zeer gericht te zijn, met de meeste doelen uit Italië, Spanje en het Verenigd Koninkrijk. De e-mails met lokaas beweren afkomstig te zijn van de Wereldgezondheidsorganisatie (WHO) en bevatten instructies en veiligheidsmaatregelen met betrekking tot COVID-19. Slachtoffers wordt dringend verzocht het bijgevoegde Microsoft Word-document te openen om het 'laatste gezondheidsadvies' te zien.

Om de inhoud van het bestand goed te kunnen zien, moeten slachtoffers macro's op hun systeem inschakelen. Daarna zouden ze een document krijgen met algemene stappen met betrekking tot zelfisolatie en het zorgen voor iemand die besmet is met COVID. Dit is slechts een lokmiddel bedoeld om de aandacht van het slachtoffer te trekken, terwijl op de achtergrond van het systeem de macro's die in het document zijn ingebed, een payload-bestand zouden opleveren met de naam 'UpdateUAV.exe'. Het bevat een dropper die is belast met het ophalen en uitvoeren van de Nerbian RAT vanaf een externe server.

Dreigende functionaliteit en C2-communicatie

De Nerbian RAT is geschreven in de systeemonafhankelijke programmeertaal GO. Het is gecompileerd voor 64-bits systemen en toont een aanzienlijke focus op detectieontduiking. Experts identificeerden meerdere anti-analysecomponenten die verspreid waren over verschillende operationele stadia. De dreiging maakt ook gebruik van tal van open-sourcebibliotheken.

Eenmaal volledig geïmplementeerd, kan Nerbian RAT keylogging-routines starten, willekeurige schermafbeeldingen maken, commando's op het systeem uitvoeren en de bereikte resultaten exfiltreren naar de Command-and-Control-infrastructuur (C2, C&C) van de operatie. De aanvallers kunnen meerdere verschillende aspecten van de dreiging wijzigen, waaronder met welke hosts het probeert te communiceren, de frequentie van de controles op C2-domeinen en IP-adressen via keep-alive-berichten, de gewenste werkdirectory, het tijdsbestek voor wanneer de RAT is actief en vele anderen.

De Nerbian RAT is waargenomen met behulp van twee soorten netwerkverkeer. De eerste is een simpele hartslag/keep-alive boodschap aan de C2. Eventuele aanvullende communicatie wordt via POST-verzoeken overgedragen naar de geconfigureerde C2-domeinen en IP-adressen. Deze verzoeken bevatten een grote hoeveelheid HTTP-formuliergegevens.