Nerbian RAT
Patuloy na ginagamit ng mga cybercriminal ang COVID-19 bilang pang-akit sa kanilang mga nagbabantang kampanya. Ang isang naturang operasyon ay nagsasangkot ng pagpapakalat ng mga decoy na email na may dalang malware-laced file attachment. Ang huling kargamento sa chain ng impeksyon ng pag-atake ay isang hindi kilalang banta na pinangalanang Nerbian RAT. Ang mga detalye tungkol sa buong operasyon at ang mga kasangkot na tool sa malware ay inilabas sa isang ulat ng isang enterprise security firm.
Ayon sa mga natuklasan ng mga dalubhasa sa cybersecurity, ang kampanya sa pag-atake ay lumilitaw na lubos na na-target, na karamihan sa mga target ay mula sa Italy, Spain at United Kingdom. Sinasabi ng mga email na pang-akit na mula sa World Health Organization (WHO) at naglalaman ng mga tagubilin at mga hakbang sa kaligtasan na nauugnay sa COVID-19. Hinihimok ang mga biktima na buksan ang kalakip na dokumento ng Microsoft Word upang makita ang 'pinakabagong payo sa kalusugan.'
Upang maayos na makita ang mga nilalaman ng file, dapat paganahin ng mga biktima ang mga macro sa kanilang system. Pagkatapos, ipapakita sa kanila ang isang dokumento na naglalaman ng mga pangkalahatang hakbang tungkol sa pag-iisa sa sarili at pag-aalaga sa isang taong nahawaan ng COVID. Ito ay isang pang-akit lamang na sinadya upang sakupin ang atensyon ng biktima habang sa background ng system, ang mga macro na naka-embed sa dokumento ay maghahatid ng payload file na pinangalanang 'UpdateUAV.exe.' Naglalaman ito ng dropper na inatasan sa pagkuha at pag-execute ng Nerbian RAT mula sa isang malayuang server.
Pagbabanta sa Paggana at C2 na Komunikasyon
Ang Nerbian RAT ay nakasulat sa system-agnostic GO programming language. Ito ay pinagsama-sama para sa 64-bit na mga sistema at nagpapakita ng isang makabuluhang pagtutok sa pag-iwas sa pagtuklas. Tinukoy ng mga eksperto ang maraming bahagi ng anti-analysis na kumalat sa iba't ibang yugto ng pagpapatakbo. Ang banta ay gumagamit din ng maraming open-source na mga aklatan.
Kapag ganap na na-deploy, maaaring simulan ng Nerbian RAT ang mga gawain sa keylogging, kumuha ng mga arbitrary na screenshot, magsagawa ng mga command sa system, at i-exfiltrate ang mga nagawang resulta sa Command-and-Control infrastructure (C2, C&C) ng operasyon. Maaaring baguhin ng mga umaatake ang maraming iba't ibang aspeto ng banta, kabilang ang kung aling mga host ang sinusubukan nitong makipag-ugnayan, ang dalas ng mga pagsusuri para sa mga C2 na domain at mga IP address sa pamamagitan ng mga mensaheng patuloy na buhay, ang gustong gumaganang direktoryo, ang time frame kung kailan ang RAT ay aktibo at marami pang iba.
Ang Nerbian RAT ay naobserbahan gamit ang dalawang uri ng trapiko sa network. Ang una ay isang simpleng tibok ng puso/keep-alive na mensahe sa C2. Ang anumang karagdagang komunikasyon ay dinadala sa mga kahilingan ng POST sa mga naka-configure na C2 na domain at mga IP address. Ang mga kahilingang ito ay nagdadala ng malaking halaga ng HTTP form data.
