مشاهده بدافزار جدید مخفی Nerbian RAT در حملات مداوم

یک تروجان دسترسی از راه دور جدید به نام Nerbian RAT کشف شده است که شامل مجموعه‌ای غنی از ویژگی‌ها، از جمله توانایی فرار از شناسایی و تجزیه و تحلیل توسط محققان است.

نوع جدید بدافزار در Go نوشته شده است و آن را به یک تهدید 64 بیتی بین پلتفرمی تبدیل می‌کند و در حال حاضر از طریق یک کمپین توزیع ایمیل در مقیاس کوچک که از پیوست‌های سند با ماکروها استفاده می‌کند، توزیع می‌شود.

این کمپین‌های ایمیل توسط محققان Proofpoint کشف شد.

جعل هویت سازمان جهانی بهداشت

کمپین بدافزار توزیع کننده Nerbian RAT، هویت سازمان بهداشت جهانی (WHO) را جعل می‌کند و ظاهراً اطلاعات COVID-19 را به اهداف ارسال می‌کند.

پیوست‌های RAR حاوی اسناد Word هستند که با کد ماکرو مخرب آغشته شده‌اند، بنابراین اگر در مایکروسافت آفیس با محتوای «فعال» باز شود، یک فایل bat یک مرحله اجرای PowerShell را برای دانلود یک بدافزار 64 بیتی انجام می‌دهد.

بدافزار با نام "UpdateUAV.exe" نیز به زبان Golang نوشته شده است و در UPX بسته بندی شده است تا اندازه را قابل کنترل نگه دارد.

UpdateUAV از کدهای پروژه های مختلف GitHub استفاده مجدد می‌کند تا مجموعه ای غنی از مکانیسم های ضد تجزیه و تحلیل و تشخیص فرار را قبل از استقرار Nerbian RAT ترکیب کند.

جدای از آن، بدافزار همچنین با ایجاد یک کار برنامه ریزی شده که هر ساعت آن RAT را راه اندازی می کند، پایداری را ایجاد می‌کند.

Proofpoint فهرست ابزارهای ضد تحلیل را به شرح زیر خلاصه می‌کند:

• بررسی وجود برنامه‎های مهندسی معکوس یا اشکال زدایی در لیست فرآیندها

• بررسی آدرس‌های مک مشکوک

• بررسی رشته‌های WMI تا ببینید آیا نام دیسک‌ها مشروع هستند یا خیر

• بررسی اینکه آیا اندازه هارد دیسک زیر 100 گیگابایت است یا خیر، زیرا اندازه زیر 100 گیگابایت برای ماشین‌های مجازی معمول است

• بررسی اینکه آیا برنامه‌های تجزیه و تحلیل حافظه یا تشخیص دستکاری در لیست فرآیندها وجود دارد یا خیر

• بررسی مدت زمان سپری شده از زمان اجرا و مقایسه آن با یک آستانه تعیین شده

• استفاده از IsDebuggerPresent API برای تعیین اینکه آیا فایل اجرایی در حال اشکال زدایی است یا خیر

همه این بررسی‌ها عملاً اجرای RAT را در یک محیط sandbox شده مجازی غیرممکن می‌کند و از مخفی بودن طولانی‌مدت برای اپراتورهای بدافزار اطمینان می‌دهد.

ویژگی های Nerbian RAT

تروجان به عنوان "MoUsoCore.exe" دانلود می‌شود و در "C:\ProgramData\USOShared\" ذخیره می‌شود. چندین عملکرد را پشتیبانی می‌کند، در حالی که اپراتورهای آن این امکان را دارند که آن را با برخی از آنها پیکربندی کنند.

دو مورد از عملکردهای قابل توجه آن عبارتند از یک keylogger که ضربه‌های کلید را به صورت رمزگذاری شده ذخیره می‌کند و یک ابزار تصویربرداری از صفحه که روی همه پلتفرم‌های سیستم عامل کار می‌کند.

ارتباطات با سرور C2 از طریق SSL (لایه سوکت‌های امن) انجام می‌شود، بنابراین همه تبادل داده‌ها رمزگذاری شده و از بازرسی حین انتقال از ابزارهای اسکن شبکه محافظت می‌شوند.

مواظب بودن

بدون شک، Proofpoint بدافزار جدید و جالب و پیچیده‌ای را شناسایی کرده است که از طریق بررسی‌های متعدد، ارتباطات رمزگذاری شده و مبهم سازی کد بر مخفی بودن تمرکز می‌کند.

با این حال، در حال حاضر، Nerbian RAT از طریق کمپین‌های ایمیل با حجم کم توزیع می‌شود، بنابراین هنوز یک تهدید بزرگ نیست، اما اگر نویسندگان آن تصمیم بگیرند تجارت خود را به روی جامعه جرایم سایبری گسترده تر باز کنند، ممکن است شرایط تغییر کند.

منبع: ‌Bleeping-computer