NginRAT

Cyberprzestępcy wdrażają nowe zagrożenie w postaci trojana zdalnego dostępu (RAT) o nazwie NginRAT w atakach na serwery handlu elektronicznego. Celem grożącej operacji jest zebranie informacji o kartach płatniczych ze zhakowanych sklepów internetowych. Do tej pory ofiary NginRAT zidentyfikowano w Ameryce Północnej, Niemczech i Francji.

Techniki unikania stosowane przez NginRAT sprawiają, że niezwykle trudno jest zostać złapanym przez rozwiązania bezpieczeństwa. Zagrożenie przechwytuje aplikację Nginx hosta, modyfikując podstawową funkcjonalność systemu hosta Linux. Dokładniej, za każdym razem, gdy legalny serwer sieciowy Nginx wykonuje funkcję, taką jak dlopen , NginRAT przechwytuje ją i wstrzykuje się. W rezultacie RAT staje się nie do odróżnienia od legalnego procesu.

Według firmy zajmującej się bezpieczeństwem, która przeanalizowała zagrożenie NginRAT, istnieje sposób na pokazanie zaatakowanych procesów. Zagrożenie wykorzystuje LD_L1BRARY_PATH (z literówką), więc badacze zalecają uruchomienie następującego polecenia:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v siebie/

/proc/17199/środowisko

/proc/25074/e nviron

Odkryli również, że NginRAT był dostarczany na docelowe serwery przez inne złośliwe oprogramowanie RAT o nazwie CronRAT. Oba zagrożenia pełnią tę samą rolę – zapewniają dostęp do zainfekowanej maszyny backdoorem, ale opierają się na różnych metodach. Na przykład CronRAT ukrywa swój uszkodzony kod w prawidłowych zaplanowanych zadaniach, które nigdy nie zostaną wykonane, ponieważ są ustawione na uruchamianie w nieistniejących datach, takich jak 31 lutego.

Ponieważ zaobserwowano, że oba zagrożenia są obecne w tym samym czasie, jeśli NginRAT zostanie znaleziony na serwerze, administratorzy powinni również sprawdzić zadania crona pod kątem oznak uszkodzonego kodu, który może być tam ukryty przez CronRAT.