NginRAT

Киберпреступники внедряют новый троян для удаленного доступа (RAT) под названием NginRAT в атаках на серверы электронной коммерции. Целью угрожающей операции является сбор информации о платежных картах из взломанных интернет-магазинов. На данный момент жертвы NginRAT идентифицированы в Северной Америке, Германии и Франции.

Методы уклонения, используемые NginRAT, чрезвычайно затрудняют обнаружение защитными решениями. Угроза захватывает приложение Nginx на хосте, изменяя основные функции хост-системы Linux. Более конкретно, когда законный Nginx веб - сервер выполняет функции, такие как dlopen, NginRAT перехватывает он и сам впрыскивает. В результате RAT становится неотличимым от легитимного процесса.

По заявлению охранной компании, проанализировавшей угрозу NginRAT, есть способ показать скомпрометированные процессы. Угроза использует LD_L1BRARY_PATH (с опечаткой), поэтому исследователи рекомендуют выполнить следующую команду:

$ sudo grep -al LD_L1BRARY_PATH / proc / * / окружающая среда | grep -v self /

/ proc / 17199 / окружающая среда

/ proc / 25074 / e nviron

Они также обнаружили, что NginRAT был доставлен на целевые серверы другой вредоносной программой RAT под названием CronRAT . Обе угрозы выполняют одну и ту же роль - предоставляют бэкдор-доступ к зараженной машине, но используют разные методы. Например, CronRAT скрывает свой поврежденный код в действительных запланированных задачах, которые никогда не будут выполнены, потому что они настроены на выполнение в несуществующие даты, такие как 31 февраля.

Поскольку было замечено, что обе угрозы присутствуют одновременно, если NginRAT обнаружен на сервере, администраторы также должны проверить задачи cron на наличие признаков поврежденного кода, который может быть там скрыт CronRAT.