Détection du RAT Nerbian : un nouveau cheval de Troie qui exploite les leurres Covid-19 pour cibler les utilisateurs européens
Table des matières :
Un jour de plus, un autre RAT s’immisce dans les systèmes d’intérêt pour les hackers. Cette fois, le cheval de Troie appelé Nerbian RAT est sous les projecteurs, exploitant les leurres liés au Covid-19 et à l’Organisation mondiale de la santé pour réaliser des attaques ciblées contre des utilisateurs en Italie, en Espagne et au Royaume-Uni. La menace nouvellement découverte est écrite en Go, rendant le logiciel malveillant indépendant du système d’exploitation et capable de cibler à la fois les utilisateurs Windows et Linux.
Détecter le Nerbian RAT
Détectez la création possible d’une tâche planifiée ‘Nerbian’ avec une règle basée sur SIgma développée par un ingénieur expérimenté du programme de prime de détection des menaces Kyaw Pyiyt Htet:
Création possible d’une tâche planifiée ‘Nerbian’ RAT (via Cmdline)
La détection est disponible pour les 23 plateformes SIEM, EDR & XDR, alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’exécution avec la tâche/emploi planifiée (T1053, T1053.005) comme technique principale.
SOC Prime permet aux chasseurs de menaces d’optimiser les ressources, en offrant un contenu de détection de menaces en temps réel. Notre collection de règles compte plus de 185 000 détections uniques, avec plus de 140 nouveaux éléments de détection ajoutés chaque mois. Le Voir les Détections bouton vous mènera à l’oasis de règles Sigma et YARA, pilotées par la communauté, qui vous aideront à faire progresser vos opérations SOC.
Voir les Détections Rejoignez Threat Bounty
Description de Nerbian RAT
Selon l’enquête approfondie de Proofpoint, le trojan d’accès à distance Nerbian est un malware nouveau et sophistiqué alimenté par d’impressionnantes capacités d’évasion. Le cheval de Troie est écrit dans le langage de programmation Go et utilise diverses bibliothèques Go open-source pour mener des actions malveillantes. Un tel stratagème fait de Nerbian un outil polyvalent capable de cibler tous les principaux systèmes d’exploitation. En plus de ses capacités multi-OS et anti-analyse, le RAT prend en charge une multitude d’autres fonctions malveillantes telles que la frappe de clavier, la capture d’écran et les communications C2 basées sur SSL.
Dans cette campagne, les opérateurs du Nerbian RAT imitent l’Organisation mondiale de la santé (OMS), envoyant de fausses alertes concernant les procédures d’auto-isolement liées au COVID-19. Les e-mails distribués dans cette campagne de spam contiennent un document Microsoft Word avec des macros. Une fois activées, celles-ci récupèrent un installeur 64 bits du Nerbian RAT.
L’analyste de sécurité a d’abord détecté la campagne de malware transmise par e-mail fin avril 2022. Actuellement, le volume de la campagne distribuant le malware Nerbian RAT est considéré comme plutôt insignifiant ; cependant, les analystes de Proofpoint avertissent que la souche est techniquement sophistiquée et possède un potentiel malveillant considérable. Ainsi, toutes les preuves montrent que le Nerbian RAT a déjà bien démarré en peu de temps.
Rejoindre SOC Prime’s Detection as Code plateforme pour débloquer l’accès au plus grand pool en direct de contenu de détection créé par les leaders de l’industrie pour renforcer la sécurité de votre environnement. SOC Prime, basé à Boston, aux États-Unis, est dirigé par une équipe internationale d’experts SOC expérimentés dédiés à permettre une défense cyber collaborative. Résistez plus efficacement aux attaques avec SOC Prime.
