Nerbian RAT

Kriminelët kibernetikë po vazhdojnë të përdorin COVID-19 si një joshje në fushatat e tyre kërcënuese. Një operacion i tillë përfshin shpërndarjen e postës elektronike të mashtrimit që mbajnë një bashkëngjitje skedari të lidhur me malware. Ngarkesa përfundimtare në zinxhirin e infeksionit të sulmit është një kërcënim i panjohur më parë i quajtur Nerbian RAT. Detajet për të gjithë operacionin dhe mjetet e përfshira të malware u publikuan në një raport nga një firmë e sigurisë së ndërmarrjes.

Sipas gjetjeve të ekspertëve të sigurisë kibernetike, fushata e sulmit duket të jetë shumë e shënjestruar, ku shumica e objektivave janë nga Italia, Spanja dhe Mbretëria e Bashkuar. Email-et joshëse pretendojnë se janë nga Organizata Botërore e Shëndetësisë (OBSH) dhe përmbajnë udhëzime dhe masa sigurie në lidhje me COVID-19. Viktimave u kërkohet të hapin dokumentin e bashkangjitur Microsoft Word për të parë 'këshillat më të fundit shëndetësore'.

Për të parë siç duhet përmbajtjen e skedarit, viktimat duhet të aktivizojnë makro në sistemin e tyre. Më pas, atyre do t'u paraqitej një dokument që përmban hapa të përgjithshëm në lidhje me izolimin dhe kujdesin për dikë të infektuar me COVID. Ky është thjesht një mashtrim i destinuar për të pushtuar vëmendjen e viktimës ndërsa në sfondin e sistemit, makrot e ngulitura në dokument do të dorëzonin një skedar ngarkese të quajtur 'UpdateUAV.exe.' Ai përmban një pikatore që ka për detyrë marrjen dhe ekzekutimin e Nerbian RAT nga një server në distancë.

Funksionaliteti Kërcënues dhe Komunikimi C2

Nerbian RAT është shkruar në gjuhën e programimit GO agnostike të sistemit. Ai është përpiluar për sistemet 64-bit dhe demonstron një fokus të rëndësishëm në evazionin e zbulimit. Ekspertët identifikuan shumë komponentë anti-analizë që u shpërndanë në disa faza të ndryshme operacionale. Kërcënimi gjithashtu përdor shumë biblioteka me burim të hapur.

Pasi të vendoset plotësisht, Nerbian RAT mund të inicojë rutinat e regjistrimit të tastierës, të marrë pamje arbitrare të ekranit, të ekzekutojë komanda në sistem dhe të eksplorojë rezultatet e arritura në infrastrukturën Command-and-Control (C2, C&C) të operacionit. Sulmuesit mund të modifikojnë shumë aspekte të ndryshme të kërcënimit, duke përfshirë hostet me të cilët përpiqet të komunikojë, frekuencën e kontrolleve për domenet C2 dhe adresat IP nëpërmjet mesazheve mbajtëse, drejtorinë e preferuar të punës, kornizën kohore kur është RAT. aktive dhe shumë të tjera.

RAT Nerbian është vëzhguar duke përdorur dy lloje të trafikut të rrjetit. E para është një mesazh i thjeshtë i rrahjeve të zemrës/mbajtjes së gjallë për C2. Çdo komunikim shtesë bartet përmes kërkesave POST në domenet dhe adresat IP të konfiguruara C2. Këto kërkesa përmbajnë një sasi të madhe të të dhënave të formularit HTTP.