Nerbian RAT

Siber suçlular, tehdit edici kampanyalarında bir cazibe olarak COVID-19'u kullanmaya devam ediyor. Böyle bir işlem, kötü amaçlı yazılım yüklü bir dosya eki taşıyan sahte e-postaların yayılmasını içerir. Saldırının bulaşma zincirindeki son yük, Nerbian RAT adlı önceden bilinmeyen bir tehdittir. Tüm operasyon ve ilgili kötü amaçlı yazılım araçlarıyla ilgili ayrıntılar, bir kurumsal güvenlik firması tarafından bir raporda yayınlandı.

Siber güvenlik uzmanlarının bulgularına göre, saldırı kampanyası yüksek oranda hedeflenmiş görünüyor ve hedeflerin çoğu İtalya, İspanya ve Birleşik Krallık'tan geliyor. Cazibe e-postaları, Dünya Sağlık Örgütü'nden (WHO) geldiğini iddia ediyor ve COVID-19 ile ilgili talimatlar ve güvenlik önlemleri içeriyor. Mağdurlardan 'en son sağlık tavsiyelerini' görmek için ekteki Microsoft Word belgesini açmaları isteniyor.

Dosyanın içeriğini düzgün bir şekilde görebilmek için kurbanların sistemlerinde makroları etkinleştirmeleri gerekir. Daha sonra kendilerine, kendilerini tecrit etme ve COVID bulaşmış birinin bakımıyla ilgili genel adımları içeren bir belge sunulacak. Bu, sistemin arka planında, belgeye gömülü makrolar 'UpdateUAV.exe' adlı bir yük dosyası teslim ederken, kurbanın dikkatini çekmeyi amaçlayan bir tuzaktır. Nerbian RAT'ı uzak bir sunucudan almak ve yürütmekle görevli bir damlalık içerir.

Tehdit Eden İşlevsellik ve C2 İletişimi

Nerbian RAT, sistemden bağımsız GO programlama dilinde yazılmıştır. 64 bit sistemler için derlenmiştir ve algılamadan kaçınmaya önemli ölçüde odaklanıldığını gösterir. Uzmanlar, birkaç farklı operasyonel aşamaya yayılmış birden fazla anti-analiz bileşeni belirledi. Tehdit ayrıca çok sayıda açık kaynak kitaplığından yararlanır.

Nerbian RAT, tam olarak konuşlandırıldıktan sonra, keylogging rutinlerini başlatabilir, keyfi ekran görüntüleri alabilir, sistemde komutlar yürütebilir ve elde edilen sonuçları operasyonun Komuta ve Kontrol altyapısına (C2, C&C) aktarabilir. Saldırganlar, hangi ana bilgisayarlarla iletişim kurmaya çalıştığı, canlı tutma mesajları aracılığıyla C2 etki alanları ve IP adresleri için yapılan kontrollerin sıklığı, tercih edilen çalışma dizini, RAT'ın ne zaman için zaman çerçevesi dahil olmak üzere tehdidin birçok farklı yönünü değiştirebilir. aktif ve diğerleri.

Nerbian RAT, iki tür ağ trafiği kullanılarak gözlemlenmiştir. İlki, C2'ye basit bir kalp atışı/canlı tut mesajıdır. Herhangi bir ek iletişim, yapılandırılmış C2 etki alanlarına ve IP adreslerine yapılan POST istekleri üzerinden taşınır. Bu istekler büyük miktarda HTTP form verisi taşır.