NginRAT

Cyberkriminella distribuerar ett nytt Remote Access Trojan (RAT)-hot vid namn NginRAT i attacker mot e-handelsservrar. Målet med den hotfulla operationen är att samla in betalkortsinformation från utsatta nätbutiker. Hittills har offer för NginRAT identifierats i Nordamerika, Tyskland och Frankrike.

Undvikelseteknikerna som används av NginRAT gör det extremt svårt att fångas av säkerhetslösningar. Hotet kapar värdens Nginx-applikation genom att modifiera kärnfunktionaliteten i Linux-värdsystemet. Närmare bestämt, närhelst den legitima Nginx-webbservern kör en funktion, såsom dlopen , avlyssnar NginRAT den och injicerar sig själv. Som ett resultat blir RAT omöjlig att skilja från en legitim process.

Enligt säkerhetsföretaget som analyserade NginRAT-hotet finns det ett sätt att visa de komprometterade processerna. Hotet använder LD_L1BRARY_PATH (med ett stavfel) så forskarna rekommenderar att du kör följande kommando:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/e nviron

De upptäckte också att NginRAT levererades till målservrarna av en annan RAT-skadlig kod vid namn CronRAT. De två hoten fyller samma roll – ger bakdörrsåtkomst till den infekterade maskinen, men de förlitar sig på olika metoder. Till exempel döljer CronRAT sin korrupta kod i giltiga schemalagda uppgifter som aldrig kommer att köras eftersom de är inställda på att köras på obefintliga datum som 31 februari.

Eftersom båda hoten har observerats vara närvarande samtidigt, om NginRAT hittas på en server, bör administratörer också kontrollera cron-uppgifterna för tecken på en skadad kod som kan döljas där av CronRAT.