Nerbian RAT

Cyberkriminella fortsätter att använda COVID-19 som ett lockbete i sina hotfulla kampanjer. En sådan operation involverar spridning av lockbete-e-postmeddelanden som innehåller en filbilaga med skadlig programvara. Den sista nyttolasten i attackens infektionskedja är ett tidigare okänt hot som heter Nerbian RAT. Detaljer om hela verksamheten och de inblandade skadliga verktygen släpptes i en rapport från ett företagssäkerhetsföretag.

Enligt cybersäkerhetsexperternas resultat verkar attackkampanjen vara mycket riktad, med de flesta av målen från Italien, Spanien och Storbritannien. Mejlen med lockbete påstår sig vara från Världshälsoorganisationen (WHO) och innehåller instruktioner och säkerhetsåtgärder relaterade till covid-19. Offren uppmanas att öppna det bifogade Microsoft Word-dokumentet för att se de "senaste hälsoråden".

För att korrekt se innehållet i filen måste offren aktivera makron på sitt system. Efteråt skulle de presenteras med ett dokument som innehåller allmänna steg angående självisolering och att ta hand om någon som är smittad med covid. Detta är bara ett lockbete menat att uppta offrets uppmärksamhet medan makron som är inbäddade i dokumentet i bakgrunden av systemet levererar en nyttolastfil med namnet 'UpdateUAV.exe'. Den innehåller en dropper med uppgift att hämta och köra Nerbian RAT från en fjärrserver.

Hotande funktionalitet och C2-kommunikation

Nerbian RAT är skriven i det systemagnostiska GO-programmeringsspråket. Den är kompilerad för 64-bitars system och visar ett betydande fokus på detekteringsundandragande. Experter identifierade flera antianalyskomponenter som var spridda över flera olika driftsstadier. Hotet utnyttjar också många bibliotek med öppen källkod.

När Nerbian RAT är fullt utplacerad kan initiera tangentloggningsrutiner, ta godtyckliga skärmdumpar, utföra kommandon på systemet och exfiltrera de uppnådda resultaten till kommando-och-kontroll-infrastrukturen (C2, C&C) för operationen. Angriparna kan modifiera flera olika aspekter av hotet, inklusive vilka värdar det försöker kommunicera med, frekvensen av kontrollerna för C2-domäner och IP-adresser via keep-alive-meddelanden, den föredragna arbetskatalogen, tidsramen för när RAT är aktiva och många andra.

Nerbian RAT har observerats med två typer av nätverkstrafik. Den första är ett enkelt meddelande om hjärtslag/hålla vid liv till C2. All ytterligare kommunikation överförs via POST-förfrågningar till de konfigurerade C2-domänerna och IP-adresserna. Dessa förfrågningar innehåller en stor mängd HTTP-formulärdata.