Nerbian RAT

Kibernetski kriminalci še naprej uporabljajo COVID-19 kot vabo v svojih grozečih kampanjah. Ena takih operacij vključuje razširjanje vabljivih e-poštnih sporočil, ki vsebujejo priponko datoteke z zlonamerno programsko opremo. Končna koristna obremenitev v verigi okužbe napada je prej neznana grožnja z imenom Nerbian RAT. Podrobnosti o celotni operaciji in vključenih orodjih za zlonamerno programsko opremo so bile objavljene v poročilu podjetja za varnost podjetja.

Po ugotovitvah strokovnjakov za kibernetsko varnost se zdi, da je napadalna kampanja zelo ciljno usmerjena, večina tarč je iz Italije, Španije in Združenega kraljestva. E-poštna sporočila z vabami trdijo, da jih je poslala Svetovna zdravstvena organizacija (WHO) in vsebujejo navodila in varnostne ukrepe v zvezi s COVID-19. Žrtve pozivajo, naj odprejo priloženi dokument Microsoft Word in si ogledajo "najnovejše zdravstvene nasvete".

Za pravilno ogled vsebine datoteke morajo žrtve omogočiti makre v svojem sistemu. Nato bi jim predstavili dokument s splošnimi koraki glede samoizolacije in oskrbe nekoga, okuženega s COVID. To je samo vaba, ki naj bi pritegnila pozornost žrtve, medtem ko bi v ozadju sistema makri, vdelani v dokument, dostavili datoteko koristnega bremena z imenom »UpdateUAV.exe«. Vsebuje kapalko, ki ima nalogo pridobivanja in izvajanja Nerbian RAT z oddaljenega strežnika.

Nevarna funkcionalnost in komunikacija C2

Nerbian RAT je napisan v sistemsko agnostičnem programskem jeziku GO. Sestavljen je za 64-bitne sisteme in kaže velik poudarek na izogibanju odkrivanju. Strokovnjaki so identificirali več komponent protianalize, ki so bile razporejene v več različnih operativnih fazah. Grožnja vpliva tudi na številne odprtokodne knjižnice.

Ko je v celoti nameščen, lahko Nerbian RAT sproži rutine za beleženje tipkovnice, naredi poljubne posnetke zaslona, izvaja ukaze v sistemu in izloči dosežene rezultate v infrastrukturo za upravljanje in nadzor (C2, C&C) operacije. Napadalci lahko spremenijo več različnih vidikov grožnje, vključno s tem, s katerimi gostitelji poskuša komunicirati, pogostost pregledov za domene C2 in naslove IP prek sporočil za ohranjanje življenjske dobe, prednostni delovni imenik, časovni okvir, ko je RAT aktivni in mnogi drugi.

Nerbian RAT je bil opažen z uporabo dveh vrst omrežnega prometa. Prvo je preprosto sporočilo srčnega utripa/ohranjaj življenj C2. Vsaka dodatna komunikacija se prenaša prek zahtev POST na konfigurirane domene C2 in naslove IP. Te zahteve vsebujejo veliko količino podatkov obrazca HTTP.