Nerbian RAT

Cyberprzestępcy nadal wykorzystują COVID-19 jako przynętę w swoich groźnych kampaniach. Jedna z takich operacji obejmuje rozpowszechnianie wabiących wiadomości e-mail zawierających załącznik do pliku zawierający złośliwe oprogramowanie. Ostatnim ładunkiem w łańcuchu infekcji ataku jest nieznane wcześniej zagrożenie o nazwie Nerbian RAT. Szczegóły dotyczące całej operacji i zaangażowanych narzędzi złośliwego oprogramowania zostały opublikowane w raporcie firmy zajmującej się bezpieczeństwem korporacyjnym.

Zgodnie z ustaleniami ekspertów ds. cyberbezpieczeństwa, kampania ataków wydaje się być silnie ukierunkowana, przy czym większość celów pochodzi z Włoch, Hiszpanii i Wielkiej Brytanii. E-maile z przynętami twierdzą, że pochodzą od Światowej Organizacji Zdrowia (WHO) i zawierają instrukcje oraz środki bezpieczeństwa związane z COVID-19. Ofiary są proszone o otwarcie załączonego dokumentu Microsoft Word, aby zapoznać się z „najnowszą poradą zdrowotną”.

Aby poprawnie zobaczyć zawartość pliku, ofiary muszą włączyć makra w swoim systemie. Następnie otrzymywali dokument zawierający ogólne kroki dotyczące samoizolacji i opieki nad osobą zarażoną COVID. To tylko wabik, który ma przykuć uwagę ofiary, podczas gdy w tle systemu makra osadzone w dokumencie dostarczają plik o nazwie „UpdateUAV.exe”. Zawiera dropper, którego zadaniem jest pobieranie i uruchamianie Nerbian RAT ze zdalnego serwera.

Groźna funkcjonalność i komunikacja C2

Nerbian RAT jest napisany w niezależnym od systemu języku programowania GO. Jest skompilowany dla systemów 64-bitowych i wykazuje duży nacisk na unikanie wykrywania. Eksperci zidentyfikowali wiele elementów antyanalizy, które były rozmieszczone na kilku różnych etapach operacyjnych. Zagrożenie wykorzystuje również liczne biblioteki open-source.

Po pełnym wdrożeniu, Nerbian RAT może inicjować procedury keyloggera, wykonywać dowolne zrzuty ekranu, wykonywać polecenia w systemie i eksportować osiągnięte wyniki do infrastruktury Command-and-Control (C2, C&C) operacji. Osoby atakujące mogą modyfikować wiele różnych aspektów zagrożenia, w tym hosty, z którymi próbuje się komunikować, częstotliwość sprawdzania domen C2 i adresów IP za pomocą wiadomości o podtrzymaniu aktywności, preferowany katalog roboczy, ramy czasowe, w których RAT jest aktywnych i wielu innych.

Nerbian RAT został zaobserwowany przy użyciu dwóch rodzajów ruchu sieciowego. Pierwsza z nich to prosta wiadomość bicia serca/utrzymania aktywności do C2. Wszelka dodatkowa komunikacja jest przenoszona przez żądania POST do skonfigurowanych domen C2 i adresów IP. Żądania te zawierają dużą ilość danych formularzy HTTP.