Nerbian RAT

Nerbian RAT คำอธิบาย

อาชญากรไซเบอร์ยังคงใช้ COVID-19 เป็นเครื่องมือในการรณรงค์คุกคาม หนึ่งในการดำเนินการดังกล่าวเกี่ยวข้องกับการเผยแพร่อีเมลหลอกลวงที่มีไฟล์แนบที่ติดมัลแวร์ เพย์โหลดสุดท้ายในห่วงโซ่การติดเชื้อของการโจมตีคือภัยคุกคามที่ไม่รู้จักก่อนหน้านี้ชื่อ Nerbian RAT รายละเอียดเกี่ยวกับการดำเนินการทั้งหมดและเครื่องมือมัลแวร์ที่เกี่ยวข้องได้รับการเปิดเผยในรายงานโดยบริษัทรักษาความปลอดภัยระดับองค์กร

จากการค้นพบของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ แคมเปญโจมตีดูเหมือนจะมีเป้าหมายสูง โดยเป้าหมายส่วนใหญ่มาจากอิตาลี สเปน และสหราชอาณาจักร อีเมลหลอกลวงอ้างว่ามาจากองค์การอนามัยโลก (WHO) และมีคำแนะนำและมาตรการด้านความปลอดภัยที่เกี่ยวข้องกับ COVID-19 ผู้ที่ตกเป็นเหยื่อควรเปิดเอกสาร Microsoft Word ที่แนบมาเพื่อดู 'คำแนะนำด้านสุขภาพล่าสุด'

หากต้องการดูเนื้อหาของไฟล์อย่างถูกต้อง เหยื่อจะต้องเปิดใช้งานมาโครในระบบของตน หลังจากนั้นพวกเขาจะนำเสนอเอกสารที่มีขั้นตอนทั่วไปเกี่ยวกับการกักตัวและการดูแลผู้ที่ติดเชื้อโควิด นี่เป็นเพียงการหลอกลวงเพื่อดึงดูดความสนใจของเหยื่อในขณะที่อยู่ในพื้นหลังของระบบ มาโครที่ฝังอยู่ในเอกสารจะส่งไฟล์เพย์โหลดชื่อ 'UpdateUAV.exe' ประกอบด้วยดรอปเปอร์ที่มีหน้าที่ดึงและเรียกใช้ Nerbian RAT จากเซิร์ฟเวอร์ระยะไกล

ฟังก์ชั่นการคุกคามและการสื่อสาร C2

Nerbian RAT เขียนด้วยภาษาโปรแกรม GO ที่ไม่เชื่อเรื่องพระเจ้า มันถูกคอมไพล์สำหรับระบบ 64 บิตและแสดงให้เห็นถึงการเน้นที่การหลีกเลี่ยงการตรวจจับอย่างมีนัยสำคัญ ผู้เชี่ยวชาญระบุองค์ประกอบต่อต้านการวิเคราะห์หลายส่วนซึ่งกระจายอยู่ในขั้นตอนการปฏิบัติงานที่แตกต่างกันหลายขั้นตอน ภัยคุกคามยังใช้ประโยชน์จากไลบรารีโอเพนซอร์ซจำนวนมาก

เมื่อปรับใช้อย่างสมบูรณ์แล้ว Nerbian RAT สามารถเริ่มต้นรูทีนการล็อกคีย์ ถ่ายภาพหน้าจอตามอำเภอใจ รันคำสั่งบนระบบ และกรองผลลัพธ์ที่สำเร็จไปยังโครงสร้างพื้นฐาน Command-and-Control (C2, C&C) ของการดำเนินการ ผู้โจมตีสามารถปรับเปลี่ยนแง่มุมต่าง ๆ ของภัยคุกคาม รวมถึงโฮสต์ที่พยายามจะสื่อสารด้วย ความถี่ของการตรวจสอบโดเมน C2 และที่อยู่ IP ผ่านข้อความ Keep-alive ไดเร็กทอรีการทำงานที่ต้องการ กรอบเวลาเมื่อ RAT เป็น ใช้งานและอื่น ๆ อีกมากมาย

มีการสังเกต Nerbian RAT โดยใช้การรับส่งข้อมูลเครือข่ายสองประเภท อันแรกคือข้อความ heartbeat/keep-alive ที่เรียบง่ายถึง C2 การสื่อสารเพิ่มเติมจะดำเนินการผ่านคำขอ POST ไปยังโดเมน C2 และที่อยู่ IP ที่กำหนดค่าไว้ คำขอเหล่านี้มีข้อมูลแบบฟอร์ม HTTP จำนวนมาก