Nerbian RAT

ਸਾਈਬਰ ਅਪਰਾਧੀ ਕੋਵਿਡ-19 ਨੂੰ ਉਨ੍ਹਾਂ ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਲਾਲਚ ਵਜੋਂ ਵਰਤਣਾ ਜਾਰੀ ਰੱਖ ਰਹੇ ਹਨ। ਅਜਿਹੇ ਇੱਕ ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਇੱਕ ਮਾਲਵੇਅਰ-ਲੇਸਡ ਫਾਈਲ ਅਟੈਚਮੈਂਟ ਵਾਲੇ ਡੀਕੋਈ ਈਮੇਲਾਂ ਦਾ ਪ੍ਰਸਾਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਹਮਲੇ ਦੀ ਸੰਕਰਮਣ ਲੜੀ ਵਿੱਚ ਅੰਤਮ ਪੇਲੋਡ Nerbian RAT ਨਾਮ ਦਾ ਇੱਕ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਖ਼ਤਰਾ ਹੈ। ਇੱਕ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੁਰੱਖਿਆ ਫਰਮ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਪੂਰੇ ਓਪਰੇਸ਼ਨ ਅਤੇ ਇਸ ਵਿੱਚ ਸ਼ਾਮਲ ਮਾਲਵੇਅਰ ਟੂਲਸ ਬਾਰੇ ਵੇਰਵੇ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਹਮਲਾ ਮੁਹਿੰਮ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨੇ ਵਾਲੀ ਜਾਪਦੀ ਹੈ, ਜਿਸ ਦੇ ਜ਼ਿਆਦਾਤਰ ਨਿਸ਼ਾਨੇ ਇਟਲੀ, ਸਪੇਨ ਅਤੇ ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ ਦੇ ਸਨ। ਲੁਭਾਉਣ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਵਿਸ਼ਵ ਸਿਹਤ ਸੰਗਠਨ (WHO) ਦੀਆਂ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਇਸ ਵਿੱਚ COVID-19 ਨਾਲ ਸਬੰਧਤ ਹਦਾਇਤਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਉਪਾਅ ਸ਼ਾਮਲ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ 'ਨਵੀਨਤਮ ਸਿਹਤ ਸਲਾਹ' ਦੇਖਣ ਲਈ ਨੱਥੀ ਮਾਈਕਰੋਸਾਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਨੂੰ ਖੋਲ੍ਹਣ ਦੀ ਅਪੀਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਫਾਈਲ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਸਹੀ ਤਰ੍ਹਾਂ ਦੇਖਣ ਲਈ, ਪੀੜਤਾਂ ਨੂੰ ਆਪਣੇ ਸਿਸਟਮ 'ਤੇ ਮੈਕਰੋ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਦਸਤਾਵੇਜ਼ ਪੇਸ਼ ਕੀਤਾ ਜਾਵੇਗਾ ਜਿਸ ਵਿੱਚ ਸਵੈ-ਅਲੱਗ-ਥਲੱਗ ਹੋਣ ਅਤੇ ਕੋਵਿਡ ਨਾਲ ਸੰਕਰਮਿਤ ਕਿਸੇ ਵਿਅਕਤੀ ਦੀ ਦੇਖਭਾਲ ਕਰਨ ਬਾਰੇ ਆਮ ਕਦਮ ਹਨ। ਇਹ ਸਿਰਫ਼ ਇੱਕ ਧੋਖਾਧੜੀ ਹੈ ਜੋ ਪੀੜਤ ਦਾ ਧਿਆਨ ਖਿੱਚਣ ਲਈ ਹੈ ਜਦੋਂ ਕਿ ਸਿਸਟਮ ਦੇ ਪਿਛੋਕੜ ਵਿੱਚ, ਦਸਤਾਵੇਜ਼ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਮੈਕਰੋ 'UpdateUAV.exe' ਨਾਮ ਦੀ ਇੱਕ ਪੇਲੋਡ ਫਾਈਲ ਪ੍ਰਦਾਨ ਕਰਨਗੇ। ਇਸ ਵਿੱਚ ਇੱਕ ਡਰਾਪਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ Nerbian RAT ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦਾ ਕੰਮ ਕਰਦਾ ਹੈ।

ਧਮਕੀ ਕਾਰਜਸ਼ੀਲਤਾ ਅਤੇ C2 ਸੰਚਾਰ

Nerbian RAT ਸਿਸਟਮ-ਅਗਨੋਸਟਿਕ GO ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ। ਇਹ 64-ਬਿੱਟ ਸਿਸਟਮਾਂ ਲਈ ਕੰਪਾਇਲ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਖੋਜ ਚੋਰੀ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਫੋਕਸ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਮਾਹਿਰਾਂ ਨੇ ਕਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਕੰਪੋਨੈਂਟਸ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜੋ ਕਈ ਵੱਖ-ਵੱਖ ਕਾਰਜਸ਼ੀਲ ਪੜਾਵਾਂ ਵਿੱਚ ਫੈਲੇ ਹੋਏ ਸਨ। ਧਮਕੀ ਕਈ ਓਪਨ-ਸੋਰਸ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦਾ ਵੀ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ।

ਇੱਕ ਵਾਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੈਨਾਤ ਹੋ ਜਾਣ 'ਤੇ, Nerbian RAT ਕੀਲੌਗਿੰਗ ਰੁਟੀਨ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ, ਮਨਮਾਨੇ ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਲੈ ਸਕਦਾ ਹੈ, ਸਿਸਟਮ 'ਤੇ ਕਮਾਂਡਾਂ ਚਲਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਸੰਪੂਰਨ ਨਤੀਜਿਆਂ ਨੂੰ ਓਪਰੇਸ਼ਨ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ (C2, C&C) ਤੱਕ ਪਹੁੰਚਾ ਸਕਦਾ ਹੈ। ਹਮਲਾਵਰ ਧਮਕੀ ਦੇ ਕਈ ਵੱਖ-ਵੱਖ ਪਹਿਲੂਆਂ ਨੂੰ ਸੰਸ਼ੋਧਿਤ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਇਹ ਵੀ ਸ਼ਾਮਲ ਹੈ ਕਿ ਇਹ ਕਿਸ ਮੇਜ਼ਬਾਨ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ, C2 ਡੋਮੇਨਾਂ ਅਤੇ IP ਪਤਿਆਂ ਦੀ ਜਾਂਚ ਦੀ ਬਾਰੰਬਾਰਤਾ, ਕੀਪ-ਲਾਈਵ ਸੁਨੇਹਿਆਂ ਦੁਆਰਾ, ਤਰਜੀਹੀ ਕਾਰਜਕਾਰੀ ਡਾਇਰੈਕਟਰੀ, ਸਮਾਂ ਸੀਮਾ ਜਦੋਂ RAT ਹੈ। ਸਰਗਰਮ ਅਤੇ ਕਈ ਹੋਰ।

Nerbian RAT ਨੂੰ ਦੋ ਕਿਸਮਾਂ ਦੇ ਨੈਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਪਹਿਲਾ C2 ਨੂੰ ਇੱਕ ਸਧਾਰਨ ਦਿਲ ਦੀ ਧੜਕਣ/ਜਿੰਦਾ ਰੱਖਣ ਵਾਲਾ ਸੁਨੇਹਾ ਹੈ। ਕੌਂਫਿਗਰ ਕੀਤੇ C2 ਡੋਮੇਨਾਂ ਅਤੇ IP ਪਤਿਆਂ 'ਤੇ ਕੋਈ ਵੀ ਵਾਧੂ ਸੰਚਾਰ POST ਬੇਨਤੀਆਂ 'ਤੇ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਬੇਨਤੀਆਂ ਵਿੱਚ ਵੱਡੀ ਮਾਤਰਾ ਵਿੱਚ HTTP ਫਾਰਮ ਡੇਟਾ ਹੁੰਦਾ ਹੈ।