Nerbian RAT

Киберпреступники продолжают использовать COVID-19 в качестве приманки в своих кампаниях угроз. Одна из таких операций включает в себя распространение электронных писем-приманок, содержащих вложенный файл с вредоносным ПО. Последней полезной нагрузкой в цепочке заражения атаки является ранее неизвестная угроза под названием Nerbian RAT. Подробная информация обо всей операции и задействованных вредоносных инструментах была опубликована в отчете фирмы, занимающейся корпоративной безопасностью.

Согласно выводам экспертов по кибербезопасности, кампания атаки, по-видимому, была узконаправленной, причем большинство целей были из Италии, Испании и Великобритании. В электронных письмах-приманках утверждается, что они отправлены Всемирной организацией здравоохранения (ВОЗ) и содержат инструкции и меры безопасности, связанные с COVID-19. Жертвам настоятельно рекомендуется открыть прикрепленный документ Microsoft Word, чтобы увидеть «последние рекомендации по здоровью».

Чтобы правильно видеть содержимое файла, жертвы должны включить макросы в своей системе. После этого им будет представлен документ, содержащий общие шаги, касающиеся самоизоляции и ухода за человеком, инфицированным COVID. Это просто приманка, предназначенная для того, чтобы отвлечь внимание жертвы, в то время как в фоновом режиме системы макросы, встроенные в документ, доставят файл полезной нагрузки с именем «UpdateUAV.exe». Он содержит дроппер, которому поручено извлекать и запускать Nerbian RAT с удаленного сервера.

Угрожающая функциональность и коммуникация C2

Nerbian RAT написан на независимом от системы языке программирования GO. Он скомпилирован для 64-битных систем и демонстрирует значительное внимание к уклонению от обнаружения. Эксперты выявили множество компонентов, препятствующих анализу, которые были распределены по нескольким различным этапам работы. Угроза также использует многочисленные библиотеки с открытым исходным кодом.

После полного развертывания Nerbian RAT может инициировать процедуры регистрации клавиатуры, делать произвольные снимки экрана, выполнять команды в системе и передавать полученные результаты в инфраструктуру управления и контроля (C2, C&C) операции. Злоумышленники могут изменить несколько различных аспектов угрозы, в том числе хосты, с которыми она пытается взаимодействовать, частоту проверок доменов C2 и IP-адресов с помощью сообщений проверки активности, предпочтительный рабочий каталог, временные рамки, когда RAT активный и многие другие.

Nerbian RAT наблюдался с использованием двух типов сетевого трафика. Первый — это простое сообщение Heartbeat/Keep Alive для C2. Любая дополнительная связь осуществляется через запросы POST на настроенные домены C2 и IP-адреса. Эти запросы несут большой объем данных формы HTTP.