Nerbian RAT

Infractorii cibernetici continuă să folosească COVID-19 ca momeală în campaniile lor amenințătoare. O astfel de operațiune implică diseminarea de e-mail-uri momeală care poartă un atașament de fișiere malware. Sarcina utilă finală din lanțul de infecție al atacului este o amenințare necunoscută anterior numită Nerbian RAT. Detalii despre întreaga operațiune și instrumentele malware implicate au fost publicate într-un raport al unei firme de securitate a întreprinderii.

Potrivit constatărilor experților în securitate cibernetică, campania de atac pare a fi foarte țintită, majoritatea țintelor fiind din Italia, Spania și Regatul Unit. E-mailurile cu momeala susțin că provin de la Organizația Mondială a Sănătății (OMS) și conțin instrucțiuni și măsuri de siguranță legate de COVID-19. Victimele sunt îndemnate să deschidă documentul Microsoft Word atașat pentru a vedea „cele mai recente sfaturi de sănătate”.

Pentru a vedea corect conținutul fișierului, victimele trebuie să activeze macrocomenzi în sistemul lor. Ulterior, li s-ar prezenta un document care conține pașii generali privind autoizolarea și îngrijirea unei persoane infectate cu COVID. Aceasta este doar o momeală menită să ocupe atenția victimei, în timp ce în fundalul sistemului, macrocomenzile încorporate în document ar furniza un fișier de încărcare utilă numit „UpdateUAV.exe”. Conține un dropper însărcinat cu preluarea și executarea Nerbian RAT de pe un server la distanță.

Funcționalitate amenințătoare și comunicare C2

Nerbian RAT este scris în limbajul de programare GO agnostic de sistem. Este compilat pentru sisteme pe 64 de biți și demonstrează un accent semnificativ pe evaziunea de detecție. Experții au identificat mai multe componente anti-analiză care au fost răspândite în mai multe etape operaționale diferite. Amenințarea folosește, de asemenea, numeroase biblioteci open-source.

Odată implementat complet, Nerbian RAT poate iniția rutine de înregistrare a tastelor, poate face capturi de ecran arbitrare, poate executa comenzi pe sistem și poate exfiltra rezultatele obținute în infrastructura de comandă și control (C2, C&C) a operațiunii. Atacatorii pot modifica mai multe aspecte diferite ale amenințării, inclusiv cu gazdele cu care încearcă să comunice, frecvența verificărilor pentru domeniile C2 și adresele IP prin intermediul mesajelor de menținere în viață, directorul de lucru preferat, intervalul de timp pentru care RAT este activ și mulți alții.

RAT-ul Nerbian a fost observat folosind două tipuri de trafic de rețea. Primul este un simplu mesaj de bătăi ale inimii/menține în viață către C2. Orice comunicare suplimentară este transmisă prin solicitările POST către domeniile C2 și adresele IP configurate. Aceste solicitări au o cantitate mare de date de formular HTTP.