Nerbian RAT

Nerbian RAT Description

Tội phạm mạng đang tiếp tục sử dụng COVID-19 làm mồi nhử trong các chiến dịch đe dọa của chúng. Một hoạt động như vậy liên quan đến việc phổ biến các email giả mang tệp đính kèm phần mềm độc hại. Trọng tải cuối cùng trong chuỗi lây nhiễm của cuộc tấn công là một mối đe dọa chưa từng được biết đến trước đó có tên Nerbian RAT. Thông tin chi tiết về toàn bộ hoạt động và các công cụ phần mềm độc hại liên quan đã được một công ty bảo mật doanh nghiệp đưa ra trong một báo cáo.

Theo phát hiện của các chuyên gia an ninh mạng, chiến dịch tấn công dường như có tính nhắm mục tiêu cao, với hầu hết các mục tiêu là từ Ý, Tây Ban Nha và Vương quốc Anh. Các email thu hút khẳng định là của Tổ chức Y tế Thế giới (WHO) và chứa các hướng dẫn và biện pháp an toàn liên quan đến COVID-19. Nạn nhân được khuyến khích mở tài liệu Microsoft Word đính kèm để xem 'lời khuyên sức khỏe mới nhất.'

Để xem đúng nội dung của tệp, nạn nhân phải bật macro trên hệ thống của họ. Sau đó, họ sẽ được giới thiệu một tài liệu bao gồm các bước chung về cách tự cách ly và chăm sóc người bị nhiễm COVID. Đây chỉ là một mồi nhử nhằm thu hút sự chú ý của nạn nhân trong khi trong nền của hệ thống, các macro được nhúng vào tài liệu sẽ cung cấp một tệp trọng tải có tên 'UpdateUAV.exe.' Nó chứa một ống nhỏ giọt có nhiệm vụ tìm nạp và thực thi Nerbian RAT từ một máy chủ từ xa.

Chức năng Đe doạ và Giao tiếp C2

Nerbian RAT được viết bằng ngôn ngữ lập trình GO bất khả tri hệ thống. Nó được biên dịch cho các hệ thống 64-bit và thể hiện sự tập trung đáng kể vào việc tránh phát hiện. Các chuyên gia đã xác định nhiều thành phần chống phân tích được trải rộng trong một số giai đoạn hoạt động khác nhau. Mối đe dọa cũng thúc đẩy nhiều thư viện mã nguồn mở.

Sau khi được triển khai đầy đủ, Nerbian RAT có thể bắt đầu các quy trình ghi nhật ký, chụp ảnh màn hình tùy ý, thực thi các lệnh trên hệ thống và trích xuất các kết quả đã đạt được tới cơ sở hạ tầng Command-and-Control (C2, C&C) của hoạt động. Những kẻ tấn công có thể sửa đổi nhiều khía cạnh khác nhau của mối đe dọa, bao gồm máy chủ mà nó cố gắng giao tiếp, tần suất kiểm tra các miền C2 và địa chỉ IP thông qua các thông báo còn tồn tại, thư mục làm việc ưu tiên, khung thời gian khi RAT hoạt động và nhiều người khác.

RAT Nerbian đã được quan sát bằng cách sử dụng hai loại lưu lượng mạng. Đầu tiên là một tin nhắn đơn giản về nhịp tim / duy trì sự sống cho C2. Bất kỳ giao tiếp bổ sung nào được thực hiện qua các yêu cầu POST đến các miền và địa chỉ IP C2 đã định cấu hình. Các yêu cầu này mang một lượng lớn dữ liệu biểu mẫu HTTP.