NginRAT

Siber suçlular, e-ticaret sunucularına yönelik saldırılarda NginRAT adlı yeni bir Uzaktan Erişim Truva Atı (RAT) tehdidi dağıtıyor. Tehdit operasyonunun amacı, güvenliği ihlal edilmiş çevrimiçi mağazalardan ödeme kartı bilgilerini toplamaktır. Şimdiye kadar, NginRAT kurbanları Kuzey Amerika, Almanya ve Fransa'da tespit edildi.

NginRAT tarafından kullanılan kaçırma teknikleri, güvenlik çözümlerine yakalanmayı son derece zorlaştırıyor. Tehdit, Linux ana bilgisayar sisteminin temel işlevlerini değiştirerek ana bilgisayarın Nginx uygulamasını ele geçirir. Daha spesifik olarak, meşru Nginx Web sunucusu dlopen gibi bir işlevi yürüttüğünde, NginRAT onu durdurur ve kendisini enjekte eder. Sonuç olarak, RAT meşru bir süreçten ayırt edilemez hale gelir.

NginRAT tehdidini analiz eden güvenlik şirketine göre, güvenliği ihlal edilmiş süreçleri göstermenin bir yolu var. Tehdit, LD_L1BRARY_PATH (yazım hatası ile) kullanır, bu nedenle araştırmacılar aşağıdaki komutu çalıştırmanızı önerir:

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v kendini/

/proc/17199/çevre

/proc/25074/e nviron

Ayrıca NginRAT'ın hedeflenen sunuculara CronRAT adlı başka bir RAT kötü amaçlı yazılımı tarafından teslim edildiğini keşfettiler. İki tehdit de aynı rolü üstleniyor - virüslü makineye arka kapı erişimi sağlıyor, ancak farklı yöntemlere güveniyorlar. Örneğin, CronRAT, bozuk kodunu, 31 Şubat gibi var olmayan tarihlerde çalışacak şekilde ayarlandıkları için hiçbir zaman yürütülmeyecek geçerli zamanlanmış görevlerde gizler.

Her iki tehdidin de aynı anda mevcut olduğu gözlemlendiğinden, bir sunucuda NginRAT bulunursa, yöneticiler ayrıca CronRAT tarafından orada gizlenebilecek bozuk bir kod belirtileri için cron görevlerini de kontrol etmelidir.