Nerbian RAT

Description de Nerbian RAT

Les cybercriminels continuent d'utiliser le COVID-19 comme leurre dans leurs campagnes menaçantes. L'une de ces opérations implique la diffusion d'e-mails leurres contenant une pièce jointe contenant un logiciel malveillant. La charge utile finale dans la chaîne d'infection de l'attaque est une menace jusque-là inconnue nommée Nerbian RAT. Des détails sur l'ensemble de l'opération et les outils malveillants impliqués ont été publiés dans un rapport d'une entreprise de sécurité d'entreprise.

Selon les conclusions des experts en cybersécurité, la campagne d'attaque semble être très ciblée, la plupart des cibles étant originaires d'Italie, d'Espagne et du Royaume-Uni. Les e-mails leurres prétendent provenir de l'Organisation mondiale de la santé (OMS) et contiennent des instructions et des mesures de sécurité liées au COVID-19. Les victimes sont invitées à ouvrir le document Microsoft Word ci-joint pour voir les «derniers conseils de santé».

Pour voir correctement le contenu du fichier, les victimes doivent activer les macros sur leur système. Ensuite, on leur présenterait un document contenant les étapes générales concernant l'auto-isolement et la prise en charge d'une personne infectée par le COVID. Il s'agit simplement d'un leurre destiné à occuper l'attention de la victime tandis qu'en arrière-plan du système, les macros intégrées dans le document fourniraient un fichier de charge utile nommé "UpdateUAV.exe". Il contient un dropper chargé de récupérer et d'exécuter le RAT Nerbian à partir d'un serveur distant.

Fonctionnalité menaçante et communication C2

Le Nerbian RAT est écrit dans le langage de programmation GO indépendant du système. Il est compilé pour les systèmes 64 bits et met l'accent sur l'évasion de la détection. Les experts ont identifié plusieurs composants anti-analyse répartis sur plusieurs étapes opérationnelles différentes. La menace exploite également de nombreuses bibliothèques open source.

Une fois entièrement déployé, Nerbian RAT peut lancer des routines d'enregistrement de frappe, prendre des captures d'écran arbitraires, exécuter des commandes sur le système et exfiltrer les résultats obtenus vers l'infrastructure de commande et de contrôle (C2, C&C) de l'opération. Les attaquants peuvent modifier plusieurs aspects différents de la menace, y compris les hôtes avec lesquels ils tentent de communiquer, la fréquence des vérifications des domaines C2 et des adresses IP via des messages persistants, le répertoire de travail préféré, le délai d'exécution du RAT. actif et bien d'autres.

Le Nerbian RAT a été observé en utilisant deux types de trafic réseau. Le premier est un simple message heartbeat/keep-alive au C2. Toute communication supplémentaire est transmise via les requêtes POST aux domaines C2 et aux adresses IP configurés. Ces requêtes transportent une grande quantité de données de formulaire HTTP.