Nerbian RAT-malware (Remote Access Trojan) bruger betydelige anti-analyse- og anti-reverseringsfunktioner sammen med flere open source-Go-biblioteker til at udføre skadelig aktivitet.
Analytikere hos cybersikkerhedsleverandøren Proofpoint har analyseret en ny RAT-malwarekampagne med fjernadgang ved hjælp af sofistikerede unddragelsesteknikker og udnyttelse af COVID-19-temameddelelser til at målrette mod globale organisationer. Nerbian RAT er skrevet i Go-programmeringssprog, bruger betydelige anti-analyse og anti-reversering kapaciteter og open source Go biblioteker til at udføre ondsindede aktiviteter.
Kampagnen blev først analyseret af Proofpoint i slutningen af april og påvirker uforholdsmæssigt enheder i Italien, Spanien og Storbritannien. I en erklæring, Proofpoint Vice President Threat Research and Detection Sherrod DeGrippo sagde, at forskningen viser, hvordan malware-forfattere fortsætter med at operere i skæringspunktet mellem open source-kapacitet og kriminel mulighed.
RAT-malware forfalsker WHO, udnytter COVID-19-pandemien
Fra og med den 26. april 2022, observerede analytikere fra Proofpoint en malware-kampagne med lavt volumen rettet mod flere brancher med e-mails, der hævder at repræsentere Verdenssundhedsorganisationen (WHO) med deling af vigtige oplysninger om COVID-19. E-mails indeholdt et vedhæftet Word-dokument, der indeholdt makroer, der, når de blev åbnet, afslørede oplysninger om COVID-19-sikkerhed, selvisolering og pleje af enkeltpersoner.
“Interessant nok ligner det temaer, der blev brugt i pandemiens tidlige dage i 2020, specifikt spoofing af WHO for at distribuere information om virussen,”
fortæller analytikerne. Dokumenterne indeholder også logoer fra Health Service Executive (HSE), Irlands regering og National Council for the Blind of Ireland (NCBI), tilføjede Proofpoint.
Nerbian RAT demonstrerer makroaktiveret angrebssti og genbrug af kode
Når makroerne er aktiveret, udfører dokumentet en indlejret makro, der slipper en .bat fil, der udfører en PowerShell, påberåber sig webanmodning (IWR) og omdøber den downloadede fil til UpdateUAV.exe, før den slippes i et offers harddisk, siger analytikerne. “I UpdateUAV.exe er nyttelasten oprindeligt downloadet fra det ondsindede Word-dokument. Det er en 64-bit eksekverbar, skrevet i Golang, 3.5MB i størrelse og UPX pakket,” og siger yderligere. “Sandsynligvis er denne malware fyldt med UPX for at reducere den samlede størrelse af den eksekverbare fil, der downloades. Udpakket er filen 6.6MB i alt.”
Proofpoint navngav denne malware “Nerbian RAT” baseret på et af funktionsnavnene i dropperen. Forskere bemærkede, at UpdateUAV eksekverbare funktioner betydelig kode genbrug, med strenge, der henviser til forskellige GitHub-projekter.
Nerbian RAT’s sofistikerede unddragelsesteknikker
Nerbian RAT demonstrerer flere sofistikerede unddragelsesteknikker, sagde Proofpoint. For eksempel vil dropperen stoppe udførelsen, når han støder på visse betingelser, herunder hvis:
- Størrelsen på harddisken på systemet er mindre end 100 GB.
- Navnet på harddisken indeholder virtuelle, vbox- eller vmware-strenge.
- Den forespurgte MAC-adresse returnerer visse OUI-værdier.
- Specifikke reverse engineering / debugging programmer er til stede.
- exe-, RAMMap.exe-, RAMMap64.exe- eller vmmap.exe hukommelsesanalyse/hukommelsesmanipulationsprogrammer er til stede.
Ud over de anti-reverserende kontroller identificerede Proofpoint andre antianalysekontroller, der findes i binæren, herunder:
- Brug af IsDebuggerPresent API til at afgøre, om den eksekverbare fil bliver debugget
- Forespørgsler om følgende netværksgrænsefladenavne: Intel PRO/1000 MT-netværksforbindelse, Loopback Pseudo-Interface 1 og Software Loopback Interface 1
Malware demonstrerer evnen til at logge tastetryk og kommunikerer via SSL
Hvis aktivering opnås, vil dropperen derefter forsøge at etablere en planlagt opgave ved navn MicrosoftMouseCoreWork for at starte RAT-nyttelasten hver time for at etablere vedholdenhed, sagde Proofpoint. “Dropperens slutmål er at downloade den eksekverbare navngivne SSL, gemme den som MoUsoCore.exe og konfigurere en planlagt opgave til at køre den hver time som dens primære vedholdenhedsmekanisme.”
Nerbian RAT ser også ud til at have en række forskellige funktioner, herunder evnen til at logge tastetryk og, som de fleste moderne malware-familier foretrækker at håndtere sin kommunikation over SSL.
“På trods af al denne kompleksitet og omhu for at beskytte dataene i transit og “dyrlæge” den kompromitterede vært, anvender dropperen og RAT ikke selv kraftig tilsløring uden for prøven, der er pakket med UPX, hvilket det kan hævdes ikke nødvendigvis er til tilsløring, men blot for at reducere størrelsen på den eksekverbare, ” konkluderer Proofpoint.” Derudover er meget af funktionaliteten i både RAT og dropperen let at udlede på grund af strengene, der henviser til GitHub-lagre.
Kilde: CSOonline
Foto: Pexels