พบมัลแวร์ Nerbian RAT กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

พบ Remote access trojan ตัวใหม่ที่มีชื่อว่า Nerbian RAT ซึ่งประกอบไปด้วยคุณสมบัติพิเศษหลายอย่าง รวมไปถึงการหลบเลี่ยงการตรวจจับ และวิเคราะห์จากนักวิจัย

มัลแวร์รูปแบบใหม่นี้ถูกเขียนจากภาษา Go ซึ่งทำให้มันสามารถทำงานได้หลายแพลตฟอร์ม โดยปัจจุบันเริ่มพบการแพร่กระจายผ่านทางอีเมลล์ที่มีไฟล์แนบที่ฝังมาโครที่เป็นอันตรายไว้ภายใน

แคมเปญการโจมตีนี้ถูกค้นพบโดยนักวิจัยจาก Proofpoint ซึ่งมีการเผยแพร่รายงานเกี่ยวกับมัลแวร์ Nerbian RAT ตัวใหม่ในวันนี้ (11 พ.ค. 2565)

ปลอมแปลงเป็นองค์การอนามัยโลก (WHO)

แคมเปญการโจมตีที่ใช้ในการแพร่กระจาย Nerbian RAT ในครั้งนี้ มีความพยายามปลอมแปลงข้อความว่ามาจากองค์การอนามัยโลก (WHO) ในการส่งข้อมูลสำคัญที่เกี่ยวข้องกับ COVID-19 ไปยังเป้าหมาย

โดยจะมีไฟล์ที่แนบมาเป็น .RAR และมีเอกสาร Word ที่ฝังมาโครไว้ เมื่อเปิดไฟล์ใน Microsoft Office และอนุญาตให้มาโครทำงาน มันจะทำการรัน PowerShell เพื่อดาวน์โหลด 64-bit dropper ที่มีชื่อว่า "UpdateUAV.exe" ซึ่งเขียนด้วยภาษา Golang โดย UpdateUAV จะประกอบไปด้วยโค้ดที่ใช้เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้าน Security ก่อนที่จะทำการติดตั้ง Nerbian RAT โดยเมื่อตัว Dropper สามารถทำงานได้อย่างสมบูรณืบนเครื่องเหยื่อ มันจะทำการตั้ง schedule task ที่จะสั่งรัน Nerbian RAT ทุกๆชั่วโมง

Proofpoint สรุปรายการของเครื่องมือที่ใช้สำหรับหลีกเลี่ยงการตรวจจับไว้ดังนี้

ตรวจสอบ reverse engineering หรือ debugging โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบ MAC Address บนเครื่องเป้าหมาย
ตรวจสอบ WMI strings เพื่อดูชื่อของดิสก์บนเครื่องเป้าหมาย
ตรวจสอบขนาดฮาร์ดดิสก์ว่าต่ำกว่า 100GB หรือไม่ เพื่อดูว่าตัวมันกำลังถูกรันอยู่บน Virtual Machine หรือไม่
ตรวจสอบ memory analysis หรือ tampering detection โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบระยะเวลาที่ใช้ตั้งแต่ตัวมัลแวร์เริ่มดำเนินการ เปรียบเทียบกับเกณฑ์การทำงานตามปกติของมัน
ใช้ IsDebuggerPresent API เพื่อตรวจสอบว่าตัวติดตั้งของมันกำลังถูก Debug อยู่หรือไม่

การตรวจสอบทั้งหมดนี้ทำให้ค่อนข้างยากที่จะนำ RAT ดังกล่าวไปทดสอบบน sandbox หรือ virtual machine เพื่อวิเคราะห์การทำงานของมัน รวมไปถึงก็จะทำให้มัลแวร์สามารถแฝงตัวอยู่บนระบบของเหยื่อได้นานมากยิ่งขึ้นด้วยเช่นเดียวกัน

คุณสมบัติของ Nerbian RAT
ตัวโทรจันจะถูกดาวน์โหลดมาด้วยชื่อ "MoUsoCore.

Windows GravityRAT Malware Now Also Targets macOS and Android Devices

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer