Nerbian RAT

Nerbian RAT說明

網絡犯罪分子繼續使用 COVID-19 作為威脅活動的誘餌。其中一項操作涉及傳播帶有惡意軟件附件的誘餌電子郵件。攻擊感染鏈中的最終有效載荷是一個名為 Nerbian RAT 的先前未知威脅。一家企業安全公司在一份報告中發布了有關整個操作和所涉及的惡意軟件工具的詳細信息。

根據網絡安全專家的調查結果,攻擊活動似乎具有很強的針對性,大部分目標來自意大利、西班牙和英國。誘餌電子郵件聲稱來自世界衛生組織 (WHO),其中包含與 COVID-19 相關的說明和安全措施。敦促受害者打開隨附的 Microsoft Word 文檔以查看“最新的健康建議”。

要正確查看文件的內容,受害者必須在其係統上啟用宏。之後,他們將收到一份文件,其中包含有關自我隔離和照顧感染 COVID 的人的一般步驟。這只是一個誘餌,旨在吸引受害者的注意力,而在系統後台,嵌入到文檔中的宏將提供一個名為“UpdateUAV.exe”的有效負載文件。它包含一個 dropper,負責從遠程服務器獲取和執行 Nerbian RAT。

威脅功能和 C2 通信

Nerbian RAT 是用與系統無關的 GO 編程語言編寫的。它是為 64 位系統編譯的,並展示了對檢測規避的重要關注。專家們確定了多個反分析組件,這些組件分佈在幾個不同的操作階段。該威脅還利用了眾多開源庫。

一旦完全部署,Nerbian RAT 可以啟動鍵盤記錄例程,截取任意屏幕截圖,在系統上執行命令,並將完成的結果洩露到操作的命令和控制基礎設施(C2、C&C)。攻擊者可以修改威脅的多個不同方面,包括它嘗試與哪些主機通信、通過保持活動消息檢查 C2 域和 IP 地址的頻率、首選工作目錄、RAT 的時間範圍活躍的和許多其他的。

已經觀察到 Nerbian RAT 使用兩種類型的網絡流量。第一個是發送給 C2 的簡單心跳/保持活動消息。任何額外的通信都通過對配置的 C2 域和 IP 地址的 POST 請求進行。這些請求攜帶了大量的 HTTP 表單數據。