Nerbian RAT gebruikt COVID-19 als dekmantel

proofpoint

Sinds eind april 2022 hebben onderzoekers van Proofpoint een malwarecampagne waargenomen via e-mail, genaamd Nerbian RAT. Een klein aantal e-mails (minder dan 100 berichten) werden naar meerdere sectoren gestuurd, waarbij vooral organisaties in Italië, Spanje en het VK werden getroffen. 
 
De nieuw geïdentificeerde Nerbian RAT maakt gebruik van meerdere anti-analyse componenten verspreid over verschillende stadia, waaronder meerdere open-source bibliotheken. De RAT is geschreven in Go (Golang), een besturingssysteem-onafhankelijke programmeertaal, gecompileerd voor 64-bits systemen, en maakt gebruik van verschillende coderingsroutines om netwerkanalyse verder te omzeilen. Go is een steeds populairdere programmeertaal die door bedreigingsactoren wordt gebruikt, waarschijnlijk omdat het makkelijker te gebruiken en te begrijpen is.
 
De e-mails beweerden afkomstig te zijn van de Wereldgezondheidsorganisatie (WHO) waarin belangrijke informatie over COVID-19 stond. Het malware-exemplaar werd ook opgemerkt door beveiligingsonderzoeker pr0xylife op Twitter. De volgende aanwijzingen en bijlagen werden door onderzoekers van Proofpoint waargenomen:
 
Van: who.inter.svc@gmail[.]com, announce@who-international[.]com
Onderwerp: WHO, World Health Organization
Bijlagen: who_covid19.rar with who_covid19.doc inside, covid19guide.rar with covid19guide.doc inside, covid-19.doc
 
Een bijgevoegd Word-document met macro's bevat de berichten die van de WHO afkomstig zouden zijn en veiligheidsmaatregelen in verband met COVID-19.
 
De e-mails bevatten een met macro's geladen Word-bijlage (soms gecomprimeerd met RAR). Wanneer de macro's zijn ingeschakeld, onthult het document informatie met betrekking tot COVID-19 veiligheidsmaatregelen, specifiek over zelf-isolatie en het zorgen van personen met COVID-19. Interessant is dat het lokmiddel lijkt op thema's die in de begindagen van de pandemie in 2020 werden gebruikt, met name het spoofen van de WHO om informatie over het virus te verspreiden.
 
Dit is een complex stukje malware, bestaande uit drie fases: 
  • Maldoc phishing lokaas 
  • Dropper die een grote verscheidenheid aan omgevingscontroles uitvoert - anti-revers en anti-VM controles 
  • Nerbian RAT - versleuteld configuratiebestand, uiterste zorg om ervoor te zorgen dat gegevens worden versleuteld naar de C2
Ondanks de complexiteit en de zorg die wordt besteed aan de bescherming van de data in transit en de gecompromitteerde host, maken de dropper en de RAT zelf geen gebruik van zware encryptie. Behalve het feit dat er een UPX-pakket bij het monster zit, waarvan kan worden beweerd dat het niet noodzakelijk is voor encryptie, maar alleen om de grootte van het bestand te verkleinen.  
 
Bovendien is een groot deel van de werking van zowel de RAT als de dropper makkelijk af te leiden als resultaat van de strings die verwijzen naar GitHub repositories - in het bijzonder, de Chacal en screenshot repositories. Deze repositories onthullen een deel van de bruikbaarheid van zowel de dropper als de RAT.  
 
Proofpoint acht het waarschijnlijk dat de dropper en de RAT beide door dezelfde entiteit zijn gemaakt. En hoewel de dropper in de toekomst kan worden aangepast om andere payloads af te leveren, is het automatisch ingesteld om deze specifieke payload te downloaden en weerstand te bieden wanneer deze wordt onderzocht.
Meer over
Lees ook
Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer t1

Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021

Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.

Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelij1