Nerbian RAT

Кіберзлочинці продовжують використовувати COVID-19 як приманку у своїх загрозливих кампаніях. Однією з таких операцій є розповсюдження електронних листів-приманок, що містять вкладений файл із шкідливим програмним забезпеченням. Останнім корисним навантаженням у ланцюжку зараження атаки є раніше невідома загроза під назвою Nerbian RAT. Подробиці про всю операцію та залучені зловмисні засоби були опубліковані у звіті фірми з безпеки підприємства.

Згідно з висновками експертів з кібербезпеки, кампанія атаки виглядає дуже цілеспрямованою, причому більшість цілей з Італії, Іспанії та Великобританії. У листах із приманкою стверджується, що вони надійшли від Всесвітньої організації охорони здоров’я (ВООЗ) і містять інструкції та заходи безпеки, пов’язані з COVID-19. Жертв закликають відкрити вкладений документ Microsoft Word, щоб переглянути «останні поради щодо здоров’я».

Щоб правильно побачити вміст файлу, жертви повинні ввімкнути макроси у своїй системі. Після цього їм буде представлений документ із загальними кроками щодо самоізоляції та догляду за інфікованими COVID-19. Це всього лише приманка, призначена для того, щоб привернути увагу жертви, тоді як у фоновому режимі системи макроси, вбудовані в документ, доставлять файл корисного навантаження під назвою «UpdateUAV.exe». Він містить дроппер, якому поставлено завдання отримати та виконати Nerbian RAT з віддаленого сервера.

Загрозлива функціональність і зв’язок C2

Nerbian RAT написаний системно-агностичною мовою програмування GO. Він скомпільований для 64-розрядних систем і демонструє значний акцент на ухиленні від виявлення. Експерти виявили кілька компонентів антианалізу, які були розподілені на кілька різних операційних етапів. Загроза також використовує численні бібліотеки з відкритим кодом.

Після повного розгортання Nerbian RAT може ініціювати процедури клавіатури, робити довільні знімки екрана, виконувати команди в системі та передавати отримані результати в інфраструктуру командування та керування (C2, C&C) операції. Зловмисники можуть змінювати різні аспекти загрози, зокрема, з якими хостами він намагається зв’язатися, частоту перевірок доменів C2 та IP-адрес за допомогою повідомлень підтримки активності, бажаний робочий каталог, часовий проміжок, коли RAT буде запущено. активний та багато інших.

Nerbian RAT спостерігається за допомогою двох типів мережевого трафіку. Перше – це просте повідомлення для C2. Будь-який додатковий зв’язок передається через POST-запити до налаштованих доменів C2 та IP-адрес. Ці запити містять велику кількість даних форми HTTP.