11 мая 2022 г.
- 10:49
- 0
Обнаружен новый троян удаленного доступа под названием Nerbian RAT, обладающий богатым набором функций, в том числе способностью уклоняться от обнаружения и анализа исследователями.
Новый вариант вредоносного ПО написан на Go, что делает его кросс-платформенной 64-битной угрозой, и в настоящее время он распространяется через небольшую кампанию по рассылке по электронной почте, в которой используются вложения документов, пронизанные макросами.
Кампании по электронной почте были обнаружены исследователями из Proofpoint , которые опубликовали сегодня отчет о новом вредоносном ПО Nerbian RAT.
Выдавая себя за ВОЗ
Кампания вредоносного ПО, распространяющая Nerbian RAT, выдает себя за Всемирную организацию здравоохранения (ВОЗ), которая якобы рассылает информацию о COVID-19 целям.
Фишинговая электронная почта замечена в последней кампании (Proofpoint)
Вложения RAR содержат документы Word, пронизанные вредоносным кодом макросов, поэтому при открытии в Microsoft Office с включенным содержимым файл bat выполняет шаг выполнения PowerShell для загрузки 64-разрядного дроппера.
Дроппер с именем «UpdateUAV.exe» также написан на Golang и упакован в UPX, чтобы размер оставался управляемым.
UpdateUAV повторно использует код из различных проектов GitHub, чтобы включить богатый набор механизмов антианализа и обнаружения и уклонения, прежде чем будет развернут Nerbian RAT.
Кроме того, дроппер также обеспечивает постоянство, создавая запланированную задачу, которая запускает эту RAT каждый час.
Proofpoint резюмирует список инструментов антианализа следующим образом:
- Проверить наличие реверс-инжиниринга или программ отладки в списке процессов
- Проверка подозрительных MAC-адресов
- Проверьте строки WMI, чтобы убедиться, что имена дисков являются законными.
- Проверьте, не меньше ли размер жесткого диска 100 ГБ, что типично для виртуальных машин.
- Проверьте, присутствуют ли в списке процессов какие-либо программы анализа памяти или обнаружения несанкционированного доступа.
- Проверьте количество времени, прошедшее с момента выполнения, и сравните его с установленным порогом.
- Используйте API IsDebuggerPresent, чтобы определить, отлаживается ли исполняемый файл.
Особенности Nerbian RAT
Троянец загружается как «MoUsoCore.exe» и сохраняется в «C:\ProgramData\USOShared\». Он поддерживает несколько функций, а его операторы могут настроить некоторые из них.Две его примечательные функции — это кейлоггер, который хранит нажатия клавиш в зашифрованном виде, и инструмент захвата экрана, который работает на всех платформах ОС.
Связь с сервером C2 осуществляется через SSL (Secure Sockets Layer), поэтому все обмены данными зашифрованы и защищены от проверки в пути средствами сетевого сканирования.
Полный процесс заражения (Proofpoint)
Чтобы следить за
Вне всякого сомнения, компания Proofpoint обнаружила новую интересную и сложную вредоносную программу, которая фокусируется на скрытности за счет многочисленных проверок, зашифрованных сообщений и обфускации кода.На данный момент, однако, Nerbian RAT распространяется через небольшие кампании по электронной почте, так что пока это не массовая угроза, но это может измениться, если его авторы решат открыть свой бизнес для более широкого сообщества киберпреступников.