Nerbian RAT

Nerbian RAT说明

网络犯罪分子继续使用 COVID-19 作为威胁活动的诱饵。其中一项操作涉及传播带有恶意软件附件的诱饵电子邮件。攻击感染链中的最终有效载荷是一个名为 Nerbian RAT 的先前未知威胁。一家企业安全公司在一份报告中发布了有关整个操作和所涉及的恶意软件工具的详细信息。

根据网络安全专家的调查结果,攻击活动似乎具有很强的针对性,大部分目标来自意大利、西班牙和英国。诱饵电子邮件声称来自世界卫生组织 (WHO),其中包含与 COVID-19 相关的说明和安全措施。敦促受害者打开随附的 Microsoft Word 文档以查看“最新的健康建议”。

要正确查看文件的内容,受害者必须在其系统上启用宏。之后,他们将收到一份文件,其中包含有关自我隔离和照顾感染 COVID 的人的一般步骤。这只是一个诱饵,旨在吸引受害者的注意力,而在系统后台,嵌入到文档中的宏将提供一个名为“UpdateUAV.exe”的有效负载文件。它包含一个 dropper,负责从远程服务器获取和执行 Nerbian RAT。

威胁功能和 C2 通信

Nerbian RAT 是用与系统无关的 GO 编程语言编写的。它是为 64 位系统编译的,并展示了对检测规避的重要关注。专家们确定了多个反分析组件,这些组件分布在几个不同的操作阶段。该威胁还利用了众多开源库。

一旦完全部署,Nerbian RAT 可以启动键盘记录例程,截取任意屏幕截图,在系统上执行命令,并将完成的结果泄露到操作的命令和控制基础设施(C2、C&C)。攻击者可以修改威胁的多个不同方面,包括它尝试与哪些主机通信、通过保持活动消息检查 C2 域和 IP 地址的频率、首选工作目录、RAT 的时间范围活跃的和许多其他的。

已经观察到 Nerbian RAT 使用两种类型的网络流量。第一个是发送给 C2 的简单心跳/保持活动消息。任何额外的通信都通过对配置的 C2 域和 IP 地址的 POST 请求进行。这些请求携带了大量的 HTTP 表单数据。