NginRAT

Cybercriminelen gebruiken een nieuwe Remote Access Trojan (RAT)-bedreiging met de naam NginRAT bij aanvallen op eCommerce-servers. Het doel van de dreigende operatie is om betaalkaartinformatie te verzamelen van gecompromitteerde online winkels. Tot nu toe zijn slachtoffers van NginRAT geïdentificeerd in Noord-Amerika, Duitsland en Frankrijk.

De ontwijkingstechnieken die door NginRAT worden gebruikt, maken het extreem moeilijk om door beveiligingsoplossingen te worden gepakt. De dreiging kaapt de Nginx-toepassing van de host door de kernfunctionaliteit van het Linux-hostsysteem te wijzigen. Meer specifiek, wanneer de legitieme Nginx-webserver een functionaliteit uitvoert, zoals dlopen , onderschept NginRAT deze en injecteert zichzelf. Als gevolg hiervan wordt de RAT niet te onderscheiden van een legitiem proces.

Volgens het beveiligingsbedrijf dat de NginRAT-dreiging heeft geanalyseerd, is er een manier om de aangetaste processen te tonen. De dreiging gebruikt LD_L1BRARY_PATH (met een typfout), dus de onderzoekers raden aan om de volgende opdracht uit te voeren:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v zelf/

/proc/17199/omgeving

/proc/25074/e nviron

Ze ontdekten ook dat NginRAT op de beoogde servers werd afgeleverd door een andere RAT-malware genaamd CronRAT. De twee bedreigingen vervullen dezelfde rol: ze bieden achterdeurtoegang tot de geïnfecteerde machine, maar ze zijn afhankelijk van verschillende methoden. CronRAT verbergt bijvoorbeeld zijn beschadigde code in geldige geplande taken die nooit zullen worden uitgevoerd omdat ze zijn ingesteld om te worden uitgevoerd op niet-bestaande datums zoals 31 februari.

Omdat is waargenomen dat beide bedreigingen tegelijkertijd aanwezig zijn, moeten beheerders, als NginRAT op een server wordt gevonden, ook de cron-taken controleren op tekenen van een beschadigde code die daar door CronRAT verborgen zou kunnen zijn.