Обнаружен новый троян удаленного доступа под названием Nerbian RAT, обладающий богатым набором функций, включая способность уклоняться от обнаружения и анализа специалистами.
Вредоносное ПО написано на языке Go, что делает его унифицированной кроссплатформенной 64-битной угрозой. В настоящее время он распространяется через небольшие кампании по рассылке электронной почты, в которых используются вложения документов, снабженные макросами.
Эти почтовые кампании были обнаружены исследователями из компании Proofpoint, которые сегодня опубликовали отчет о новой вредоносной программе Nerbian RAT.
Выдавая себя за ВОЗ
Вредоносная кампания, распространяющая Nerbian RAT, выдает себя за Всемирную организацию здравоохранения (ВОЗ), которая якобы рассылает целевым группам информацию о COVID-19.
Вложения RAR содержат документы Word с вредоносным макрокодом, и если их открыть в Microsoft Office с содержимым, установленным на "enabled", bat-файл выполняет шаг выполнения PowerShell для загрузки 64-битного дроппера.
Дроппер - семейство вредоносных программ (как правило это троянская программа), предназначенных для несанкционированной и скрытой от пользователя установки на компьютер жертвы других вредоносных программ, содержащихся в самом теле дроппера или загружаемых по сети
Дроппер, названный "UpdateUAV.exe", также написан на Golang и упакован в UPX, чтобы сохранить управляемый размер.
UpdateUAV использует код из различных проектов GitHub для включения богатого набора механизмов анти-анализа и обхода обнаружения перед развертыванием Nerbian RAT.
Кроме того, дроппер также обеспечивает постоянство, создавая запланированную задачу, которая запускает RAT каждый час.
Proofpoint приводит следующий список инструментов анти-анализа:
- Проверка наличия в списке процессов программ обратного проектирования или отладки
- Проверка на наличие подозрительных MAC-адресов
- Проверка строк WMI на предмет легитимности имен дисков
- Проверка превышения размера жесткого диска 100 ГБ, что типично для виртуальных машин
- Проверка в списке процессов программы анализа памяти или обнаружения несанкционированного доступа к памяти
- Проверка количества времени, прошедшего с момента выполнения, и сравнение его с установленным порогом
- Использование API IsDebuggerPresent для определения отладки исполняемого файла.
Все эти проверки делают практически невозможным запуск RAT в виртуализированной среде с песочницей, что обеспечивает долговременную скрытность для операторов вредоносного ПО.
Особенности Nerbian RAT
Троян загружается под именем "MoUsoCore.exe" и сохраняется в папке "C:\ProgramData\USOShared\". Он поддерживает несколько функций, а его операторы имеют возможность настройки каждой их них.
Две из его заметных функций - кейлоггер, сохраняющий нажатия клавиш в зашифрованном виде, и инструмент захвата экрана, работающий на всех платформах ОС.
Связь с сервером C2 осуществляется по протоколу SSL (Secure Sockets Layer), поэтому все данные шифруются и защищены от проверки в пути средствами сетевого сканирования.
Что дальше?
Без сомнения, компания Proofpoint обнаружила новую интересную и сложную вредоносную программу, которая фокусируется на скрытности с помощью многочисленных проверок, зашифрованных коммуникаций и обфускации кода.
Пока Nerbian RAT распространяется через малотиражные кампании электронной почты, он не представляет собой масштабной угрозы. Однако все может измениться одномоментно, если его разработчики решат открыть свой бизнес для более широкого киберпреступного сообщества.
