Nerbian RAT Erkennung: Neuartiger Trojaner, der Covid-19-Köder nutzt, um europäische Nutzer anzugreifen
Inhaltsverzeichnis:
Ein weiterer Tag, ein weiteres RAT schnüffelt in den Systemen von Hackern, die es interessiert. Diesmal steht der Trojaner namens Nerbian RAT im Rampenlicht, der Covid-19 und die Weltgesundheitsorganisation als Köder nutzt, um gezielte Angriffe gegen Nutzer in Italien, Spanien und Großbritannien durchzuführen. Die neu entdeckte Bedrohung ist in Go geschrieben, wodurch die Malware betriebssystemunabhängig ist und sowohl Windows- als auch Linux-Nutzer anvisieren kann.
Nerbian RAT erkennen
Erkennen Sie die mögliche Erstellung geplanter Aufgaben von ‚Nerbian‘ mit einer Sigma-basierten Regel, die von einem erfahrenen Threat Bounty Program Detection Engineer entwickelt wurde Kyaw Pyiyt Htet:
Mögliche Erstellung einer geplanten Aufgabe ‚Nerbian‘ RAT (über Cmdline)
Die Erkennung ist für die 23 SIEM-, EDR- & XDR-Plattformen verfügbar, abgestimmt auf die neueste MITRE ATT&CK®-Rahmenwerk v.10, die sich mit der Execution-Taktik mit Scheduled Task/Job (T1053, T1053.005) als Haupttechnik befasst.
SOC Prime ermöglicht es Bedrohungsjägern, Ressourcen zu optimieren, indem es inhaltsbasierten Echtzeiterkennungsinhalt anbietet. Unsere Sammlung von Regeln enthält über 185.000 einzigartige Erkennungen, wobei jeden Monat mehr als 140 neue Erkennungsitems hinzugefügt werden. Der Detektionen anzeigen Button führt Sie zur Oase der community-getriebenen Sigma- und YARA-Regeln, die Ihnen helfen werden, den Fortschritt Ihrer SOC-Operationen zu fördern.
Detektionen anzeigen Threat Bounty beitreten
Nerbian RAT Beschreibung
Laut der eingehenden Untersuchung von Proofpointist der Nerbian Remote Access Trojan ein neuartiger, ausgefeilter Trojaner, der von beeindruckenden Ausweichfähigkeiten angetrieben wird. Der Trojaner ist in der Programmiersprache Go geschrieben und verwendet verschiedene Open-Source Go-Bibliotheken, um bösartige Aktionen durchzuführen. Solch ein Trick macht Nerbian zu einem Multi-Tool, das alle großen Betriebssysteme angreifen kann. Neben den betriebssystemübergreifenden und Analyse-vermeidenden Fähigkeiten unterstützt der RAT eine Vielzahl weiterer bösartiger Funktionen wie Keylogging, Bildschirmaufnahme und SSL-basierte C2-Kommunikation.
In dieser Kampagne imitieren die Betreiber des Nerbian RAT die Weltgesundheitsorganisation (WHO) und versenden gefälschte Warnungen zu COVID-19-bezogenen Selbstisolierungsverfahren. Die in dieser Spam-Kampagne verteilten E-Mails enthalten ein Microsoft Word-Dokument mit Makros. Wenn diese aktiviert werden, lädt es einen 64-Bit-Dropper des Nerbian RAT herunter.
Der Sicherheitsexperte entdeckte die von E-Mails getragene Malware-Kampagne erstmals Ende April 2022. Derzeit wird das Volumen der Kampagne zur Verbreitung von Nerbian RAT-Malware als eher unbedeutend angesehen; jedoch warnen die Analysten von Proofpoint, dass der Strain technisch raffiniert ist und ausreichend bösartiges Potenzial besitzt. So hat sich Nerbian RAT bereits in dieser kurzen Zeit gut etabliert.
Beitreten SOC Prime’s Detection as Code Plattform, um Zugang zum weltweit größten Live-Pool von Erkennungsinhalten freizuschalten, die von Branchenführern erstellt wurden, um die Sicherheit Ihrer Umgebung zu verbessern. SOC Prime, mit Sitz in Boston, USA, wird von einem internationalen Team erfahrener SOC-Experten betrieben, das darauf abzielt, eine kollaborative Cyber-Abwehr zu ermöglichen. Widerstehen Sie Angriffen effizienter mit SOC Prime.
