Nerbian RAT

Cyberkriminelle nutzen COVID-19 weiterhin als Köder für ihre Drohkampagnen. Eine solche Operation beinhaltet die Verbreitung von Lock-E-Mails, die einen mit Malware versehenen Dateianhang enthalten. Die letzte Payload in der Infektionskette des Angriffs ist eine bisher unbekannte Bedrohung namens Nerbian RAT. Details über die gesamte Operation und die beteiligten Malware-Tools wurden in einem Bericht einer Unternehmenssicherheitsfirma veröffentlicht.

Nach den Erkenntnissen der Cybersicherheitsexperten scheint die Angriffskampagne sehr gezielt zu sein, wobei die meisten Ziele aus Italien, Spanien und dem Vereinigten Königreich stammen. Die Köder-E-Mails geben vor, von der Weltgesundheitsorganisation (WHO) zu stammen und enthalten Anweisungen und Sicherheitsmaßnahmen im Zusammenhang mit COVID-19. Opfer werden dringend gebeten, das beigefügte Microsoft Word-Dokument zu öffnen, um die „neuesten Gesundheitshinweise“ zu sehen.

Um den Inhalt der Datei richtig zu sehen, müssen die Opfer Makros auf ihrem System aktivieren. Anschließend wurde ihnen ein Dokument vorgelegt, das allgemeine Schritte zur Selbstisolation und zur Pflege einer mit COVID infizierten Person enthält. Dies ist nur ein Köder, der die Aufmerksamkeit des Opfers auf sich ziehen soll, während die in das Dokument eingebetteten Makros im Hintergrund des Systems eine Nutzdatendatei mit dem Namen „UpdateUAV.exe“ liefern würden. Es enthält einen Dropper, der die Aufgabe hat, die Nerbian RAT von einem Remote-Server abzurufen und auszuführen.

Bedrohungsfunktion und C2-Kommunikation

Die Nerbian RAT ist in der systemagnostischen Programmiersprache GO geschrieben. Es wurde für 64-Bit-Systeme kompiliert und zeigt einen deutlichen Fokus auf Erkennungsumgehung. Experten identifizierten mehrere Anti-Analyse-Komponenten, die über mehrere verschiedene Betriebsphasen verteilt waren. Die Bedrohung nutzt auch zahlreiche Open-Source-Bibliotheken.

Nach vollständiger Bereitstellung kann Nerbian RAT Keylogging-Routinen initiieren, beliebige Screenshots erstellen, Befehle auf dem System ausführen und die erzielten Ergebnisse an die Command-and-Control-Infrastruktur (C2, C&C) der Operation exfiltrieren. Die Angreifer können mehrere verschiedene Aspekte der Bedrohung ändern, einschließlich der Hosts, mit denen sie zu kommunizieren versucht, der Häufigkeit der Überprüfungen auf C2-Domänen und IP-Adressen über Keep-Alive-Nachrichten, des bevorzugten Arbeitsverzeichnisses und des Zeitrahmens für die RAT aktiv und viele andere.

Die Nerbian RAT wurde bei der Verwendung von zwei Arten von Netzwerkverkehr beobachtet. Die erste ist eine einfache Heartbeat/Keep-Alive-Nachricht an den C2. Jede zusätzliche Kommunikation wird über POST-Anforderungen an die konfigurierten C2-Domänen und IP-Adressen übertragen. Diese Anforderungen enthalten eine große Menge an HTTP-Formulardaten.