Nerbian RAT 탐지: 코로나19 유인책을 활용한 유럽 사용자 대상 신종 트로이목마

또 다른 하루, 또 다른 RAT가 해커들이 관심을 보이는 시스템에 침투하고 있습니다. 이번에는 코로나19와 세계 보건 기구의 유혹을 활용하여 이탈리아, 스페인, 영국의 사용자들을 대상으로 공격을 진행하고 있는 Nerbian RAT라는 트로이 목마가 주목받고 있습니다. 새로 발견된 위협은 Go로 작성되어 있으며, 이는 소프트웨어를 운영 체제에 구애받지 않게 하여 Windows와 Linux 사용자를 모두 타겟으로 할 수 있게 만듭니다.

Nerbian RAT 탐지

경험 많은 위협 현상금 프로그램 탐지 엔지니어가 개발한 Sigma 기반 규칙을 사용하여 ‘Nerbian’의 가능한 예약 작업 생성 탐지 Kyaw Pyiyt Htet:

가능한 ‘Nerbian’ RAT 예약 작업 생성 (Cmdline 방식)

이 탐지는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 실행 전술과 예약 작업/직업 (T1053, T1053.005)을 주요 기술로 하여 23개의 SIEM, EDR & XDR 플랫폼에 사용할 수 있습니다.

SOC Prime은 위협 사냥꾼들이 자원을 간소화할 수 있도록 실시간 위협 탐지 콘텐츠를 제공합니다. 우리의 규칙 모음은 185,000개 이상의 고유 탐지를 보유하고 있으며, 매달 140개 이상의 새로운 탐지 항목이 추가됩니다. 그 탐지 보기 버튼은 SOC 작업의 진전을 도울 커뮤니티 기반의 Sigma 및 YARA 규칙의 오아시스로 안내합니다.

탐지 보기 위협 현상금에 참여하세요

Nerbian RAT 설명

에 따르면 Proofpoint는 인상적인 회피 능력을 갖춘 새로운 정교한 악성 코드입니다. 이 트로이 목마는 Go 프로그래밍 언어로 작성되어 있으며, 다양한 오픈 소스 Go 라이브러리를 사용하여 악성 동작을 수행합니다. 이러한 트릭은 Nerbian을 주요 운영 체제를 모두 타겟으로 하는 다목적 도구로 만들고 있습니다. 교차 운영 시스템 및 분석 방지 기능 외에도, 이 RAT는 키로깅, 화면 캡처, SSL 기반의 C2 통신 등 다양한 악성 기능을 지원합니다.

이 캠페인에서 Nerbian RAT의 운영자들은 세계 보건 기구(WHO)를 모방하여 COVID-19 관련 자가 격리 절차에 대한 허위 경고를 발송합니다. 이 스팸 캠페인에서 배포되는 이메일은 매크로가 포함된 Microsoft Word 문서를 포함하고 있으며, 매크로가 활성화되면 64비트 Nerbian RAT 드로퍼를 가져옵니다.

보안 분석가는 2022년 4월 말에 이메일을 통한 악성 코드 캠페인을 처음 감지했습니다. 현재 Nerbian RAT 악성 코드를 배포하는 캠페인의 양은 상당히 미미한 것으로 간주되지만, Proofpoint의 분석가들은 이 변종이 기술적으로 정교하며 충분한 악성 잠재력을 가지고 있다고 경고합니다. 따라서 모든 증거가 Nerbian RAT가 이 짧은 기간 내에 좋은 출발을 했음을 보여줍니다.

참여 SOC Prime의 Detection as Code 플랫폼에 가입하여 업계 선도자들이 생성한 세계 최대의 실시간 탐지 콘텐츠 풀에 접근하여 환경의 보안을 강화하세요. SOC Prime, 미국 보스턴에 본사를 두고 있으며, 협력적 사이버 방어를 가능하게 하는 베테랑 SOC 전문가들로 이루어진 국제적인 팀에 의해 운영되고 있습니다. SOC Prime을 통해 공격을 보다 효율적으로 막아내십시오.