Nerbian RAT

サイバー犯罪者は、脅迫的なキャンペーンの誘惑としてCOVID-19を使い続けています。そのような操作の1つに、マルウェアが混入したファイルの添付ファイルを含むおとりメールの配布が含まれます。攻撃の感染チェーンの最後のペイロードは、NerbianRATという名前のこれまで知られていなかった脅威です。操作全体と関連するマルウェアツールの詳細は、企業のセキュリティ会社によるレポートで公開されました。

サイバーセキュリティの専門家の調査結果によると、攻撃キャンペーンは非常に標的にされているようであり、標的のほとんどはイタリア、スペイン、英国からのものです。ルアーの電子メールは、世界保健機関（WHO）からのものであり、COVID-19に関連する指示と安全対策が含まれていると主張しています。被害者は、添付のMicrosoft Word文書を開いて、「最新の健康に関するアドバイス」を確認することをお勧めします。

ファイルの内容を正しく表示するには、被害者はシステムでマクロを有効にする必要があります。その後、自己隔離とCOVIDに感染した人の世話に関する一般的な手順を含む文書が提示されます。これは、システムのバックグラウンドで被害者の注意を引くことを目的としたおとりであり、ドキュメントに埋め込まれたマクロは、「UpdateUAV.exe」という名前のペイロードファイルを配信します。これには、リモートサーバーからNerbianRATをフェッチして実行するタスクを実行するドロッパーが含まれています。

脅威となる機能とC2通信

Nerbian RATは、システムに依存しないGOプログラミング言語で記述されています。これは64ビットシステム用にコンパイルされており、検出回避に重点を置いていることを示しています。専門家は、いくつかの異なる運用段階にまたがる複数の分析防止コンポーネントを特定しました。この脅威は、多数のオープンソースライブラリも活用しています。

完全に展開されると、Nerbian RATはキーロガールーチンを開始し、任意のスクリーンショットを撮り、システムでコマンドを実行し、実行された結果を操作のコマンドアンドコントロールインフラストラクチャ（C2、C＆C）に盗み出すことができます。攻撃者は、通信を試みるホスト、キープアライブメッセージを介したC2ドメインとIPアドレスのチェックの頻度、優先される作業ディレクトリ、RATが発生する時間枠など、脅威のさまざまな側面を変更できます。アクティブおよび他の多く。

Nerbian RATは、2種類のネットワークトラフィックを使用して観察されています。 1つ目は、C2への単純なハートビート/キープアライブメッセージです。追加の通信は、設定されたC2ドメインとIPアドレスへのPOST要求を介して実行されます。これらのリクエストには、大量のHTTPフォームデータが含まれています。