Nerbian RAT

సైబర్ నేరగాళ్లు తమ బెదిరింపు ప్రచారాల్లో కోవిడ్-19ని ఎరగా ఉపయోగించడం కొనసాగిస్తున్నారు. అటువంటి ఆపరేషన్‌లో మాల్‌వేర్-లేస్డ్ ఫైల్ అటాచ్‌మెంట్‌ని మోసుకెళ్లే డికాయ్ ఇమెయిల్‌ల వ్యాప్తి ఉంటుంది. దాడి యొక్క ఇన్‌ఫెక్షన్ చైన్‌లో చివరి పేలోడ్ నేర్బిNerbian RAT అని పిలువబడే గతంలో తెలియని ముప్పు. మొత్తం ఆపరేషన్ మరియు ప్రమేయం ఉన్న మాల్వేర్ సాధనాల గురించిన వివరాలు ఎంటర్‌ప్రైజ్ సెక్యూరిటీ సంస్థ ద్వారా ఒక నివేదికలో విడుదల చేయబడ్డాయి.

సైబర్‌ సెక్యూరిటీ నిపుణుల అన్వేషణల ప్రకారం, దాడి ప్రచారం ఎక్కువగా లక్ష్యంగా ఉన్నట్లు కనిపిస్తోంది, చాలా లక్ష్యాలు ఇటలీ, స్పెయిన్ మరియు యునైటెడ్ కింగ్‌డమ్‌కు చెందినవి. ఎర ఇమెయిల్‌లు ప్రపంచ ఆరోగ్య సంస్థ (WHO) నుండి వచ్చినవని మరియు COVID-19కి సంబంధించిన సూచనలు మరియు భద్రతా చర్యలను కలిగి ఉన్నాయని పేర్కొన్నారు. బాధితులు 'తాజా ఆరోగ్య సలహా'ను చూడడానికి జోడించిన మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్‌ని తెరవవలసిందిగా కోరారు.

ఫైల్‌లోని కంటెంట్‌లను సరిగ్గా చూడటానికి, బాధితులు తప్పనిసరిగా తమ సిస్టమ్‌లో మాక్రోలను ఎనేబుల్ చేయాలి. ఆ తర్వాత, వారికి స్వీయ-ఒంటరితనం మరియు COVID సోకిన వారి పట్ల శ్రద్ధ వహించడానికి సంబంధించిన సాధారణ దశలను కలిగి ఉన్న పత్రాన్ని అందజేస్తారు. ఇది కేవలం బాధితుని దృష్టిని ఆక్రమించడానికి ఉద్దేశించిన ఒక డికాయ్, అయితే సిస్టమ్ నేపథ్యంలో, డాక్యుమెంట్‌లో పొందుపరిచిన మాక్రోలు 'UpdateUAV.exe' పేరుతో పేలోడ్ ఫైల్‌ను బట్వాడా చేస్తాయి. ఇది రిమోట్ సర్వర్ నుండి నార్బియన్ RATని పొందడం మరియు అమలు చేయడం వంటి ఒక డ్రాపర్‌ని కలిగి ఉంది.

ప్రమాదకర కార్యాచరణ మరియు C2 కమ్యూనికేషన్

Nerbian RAT సిస్టమ్-అజ్ఞేయ GO ప్రోగ్రామింగ్ భాషలో వ్రాయబడింది. ఇది 64-బిట్ సిస్టమ్‌ల కోసం సంకలనం చేయబడింది మరియు గుర్తించే ఎగవేతపై గణనీయమైన దృష్టిని ప్రదర్శిస్తుంది. నిపుణులు అనేక విభిన్న కార్యాచరణ దశల్లో విస్తరించిన బహుళ వ్యతిరేక విశ్లేషణ భాగాలను గుర్తించారు. ముప్పు అనేక ఓపెన్ సోర్స్ లైబ్రరీలను కూడా ప్రభావితం చేస్తుంది.

పూర్తిగా అమలులోకి వచ్చిన తర్వాత, Nerbian RAT కీలాగింగ్ రొటీన్‌లను ప్రారంభించగలదు, ఏకపక్ష స్క్రీన్‌షాట్‌లను తీయగలదు, సిస్టమ్‌పై ఆదేశాలను అమలు చేయగలదు మరియు ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ ఇన్‌ఫ్రాస్ట్రక్చర్ (C2, C&C)కి సాధించిన ఫలితాలను ఎక్స్‌ఫిల్ట్ చేస్తుంది. దాడి చేసేవారు ముప్పుకు సంబంధించిన అనేక విభిన్న అంశాలను సవరించగలరు, అందులో ఏ హోస్ట్‌లతో కమ్యూనికేట్ చేయడానికి ప్రయత్నిస్తుంది, కీప్-ఎలైవ్ సందేశాల ద్వారా C2 డొమైన్‌లు మరియు IP చిరునామాల తనిఖీల ఫ్రీక్వెన్సీ, ప్రాధాన్య పని డైరెక్టరీ, RAT ఎప్పుడు ఉంటుందో అనే సమయ ఫ్రేమ్ చురుకుగా మరియు అనేక ఇతర.

Nerbian RAT రెండు రకాల నెట్‌వర్క్ ట్రాఫిక్‌ని ఉపయోగించి గమనించబడింది. మొదటిది C2కి సాధారణ హృదయ స్పందన/జీప్-సజీవ సందేశం. ఏదైనా అదనపు కమ్యూనికేషన్ కాన్ఫిగర్ చేయబడిన C2 డొమైన్‌లు మరియు IP చిరునామాలకు POST అభ్యర్థనల ద్వారా అందించబడుతుంది. ఈ అభ్యర్థనలు పెద్ద మొత్తంలో HTTP ఫారమ్ డేటాను కలిగి ఉంటాయి.