Nerbian RAT

Kyberzločinci naďalej využívajú COVID-19 ako návnadu vo svojich hrozivých kampaniach. Jedna z takýchto operácií zahŕňa šírenie návnadových e-mailov s prílohou súboru s malvérom. Konečným nákladom v infekčnom reťazci útoku je predtým neznáma hrozba s názvom Nerbian RAT. Podrobnosti o celej operácii a príslušných malvérových nástrojoch zverejnila v správe podniková bezpečnostná firma.

Podľa zistení expertov na kybernetickú bezpečnosť sa útočná kampaň javí ako vysoko cielená, pričom väčšina cieľov pochádza z Talianska, Španielska a Spojeného kráľovstva. E-maily s návnadou tvrdia, že pochádzajú od Svetovej zdravotníckej organizácie (WHO) a obsahujú pokyny a bezpečnostné opatrenia súvisiace s COVID-19. Obete sú vyzývané, aby si otvorili priložený dokument Microsoft Word a videli „najnovšie zdravotné rady“.

Aby obete správne videli obsah súboru, musia vo svojom systéme povoliť makrá. Potom im bude predložený dokument obsahujúci všeobecné kroky týkajúce sa sebaizolácie a starostlivosti o niekoho infikovaného COVID. Toto je len návnada, ktorá má zaujať pozornosť obete, zatiaľ čo na pozadí systému by makrá vložené do dokumentu doručili súbor užitočných dát s názvom „UpdateUAV.exe“. Obsahuje kvapkadlo, ktorého úlohou je získať a spustiť Nerbian RAT zo vzdialeného servera.

Ohrozujúca funkčnosť a komunikácia C2

Nerbian RAT je napísaný v systémovo agnostickom programovacom jazyku GO. Je zostavený pre 64-bitové systémy a demonštruje významné zameranie na vyhýbanie sa detekcii. Odborníci identifikovali viacero antianalytických komponentov, ktoré boli rozdelené do niekoľkých rôznych operačných etáp. Hrozba tiež využíva početné open source knižnice.

Po úplnom nasadení môže Nerbian RAT iniciovať rutiny zaznamenávania kláves, snímať ľubovoľné snímky obrazovky, vykonávať príkazy v systéme a prenášať dosiahnuté výsledky do infraštruktúry príkazov a riadenia (C2, C&C) operácie. Útočníci môžu modifikovať viacero rôznych aspektov hrozby, vrátane toho, s ktorými hostiteľmi sa pokúšajú komunikovať, frekvenciu kontrol domén C2 a IP adries prostredníctvom udržiavacích správ, preferovaný pracovný adresár, časový rámec, kedy je RAT aktívny a mnoho ďalších.

Nerbian RAT bol pozorovaný pomocou dvoch typov sieťovej prevádzky. Prvým je jednoduchý tlkot srdca/udržiavanie správy pre C2. Akákoľvek dodatočná komunikácia sa prenáša cez požiadavky POST na nakonfigurované domény C2 a adresy IP. Tieto požiadavky nesú veľké množstvo údajov formulára HTTP.