Nerbian RAT

Сајбер криминалци настављају да користе ЦОВИД-19 као мамац у својим претећим кампањама. Једна таква операција укључује ширење лажних е-порука које носе привитак датотеке са малвером. Коначни терет у ланцу инфекције напада је раније непозната претња по имену Нербиан РАТ. Детаљи о целој операцији и укљученим малвер алатима објављени су у извештају фирме за безбедност предузећа.

Према налазима стручњака за сајбер безбедност, чини се да је кампања напада високо циљана, а већина мета је из Италије, Шпаније и Уједињеног Краљевства. Е-поруке за мамац тврде да су од Светске здравствене организације (СЗО) и садрже упутства и безбедносне мере у вези са ЦОВИД-19. Жртве се позивају да отворе приложени Мицрософт Ворд документ да виде „најновији здравствени савет“.

Да би правилно видели садржај датотеке, жртве морају да омогуће макрое на свом систему. Након тога би им био представљен документ који садржи опште кораке у вези са самоизолацијом и збрињавањем некога ко је заражен ЦОВИД-ом. Ово је само мамац који треба да заокупи пажњу жртве, док би у позадини система макрои уграђени у документ испоручили датотеку корисног учитавања под називом 'УпдатеУАВ.еке.' Садржи дроппер који има задатак да преузме и изврши Нербиан РАТ са удаљеног сервера.

Претећа функционалност и Ц2 комуникација

Нербиан РАТ је написан у системском агностичком ГО програмском језику. Састављен је за 64-битне системе и показује значајан фокус на избегавању детекције. Стручњаци су идентификовали више компоненти антианализе које су биле распоређене у неколико различитих оперативних фаза. Претња такође утиче на бројне библиотеке отвореног кода.

Једном када се у потпуности примени, Нербиан РАТ може да покрене рутине кеилоггинг-а, да прави произвољне снимке екрана, да извршава команде на систему и да ексфилтрира постигнуте резултате у инфраструктуру за команду и контролу (Ц2, Ц&Ц) операције. Нападачи могу да модификују више различитих аспеката претње, укључујући са којим домаћинима покушава да комуницира, учесталост провера Ц2 домена и ИП адреса путем порука о одржавању, жељени радни директоријум, временски оквир када је РАТ активни и многи други.

Нербиан РАТ је примећен коришћењем две врсте мрежног саобраћаја. Прва је једноставна порука откуцаја срца/одржавање живота Ц2. Свака додатна комуникација се преноси преко ПОСТ захтева до конфигурисаних Ц2 домена и ИП адреса. Ови захтеви носе велику количину података ХТТП обрасца.