Nerbian
Badacze bezpieczeństwa z Proofpoint udokumentowali, że nowy trojan zdalnego dostępu (RAT) jest używany w serii niedawnych ataków wymierzonych w różne branże w wielu krajach europejskich.
Nazwany Nerbian, RAT jest napisany w języku programowania Go i zawiera liczne funkcje antyanalizy. Backdoor wykorzystuje do swoich operacji różne biblioteki Go o otwartym kodzie źródłowym i procedury szyfrowania, które pomagają mu uniknąć analizy.
Od końca kwietnia 2022 r. Proofpoint zaobserwował, że Nerbian RAT jest rozpowszechniany za pośrednictwem wiadomości phishingowych, które podszywają się pod Światową Organizację Zdrowia (WHO) i zawierają motywy związane z COVID-19, podobne do przynęt używanych w 2020 r., kiedy pandemia była na wczesnym etapie.
Ataków było mało, mniej niż 100 wiadomości, ale były skierowane do wielu branż we Włoszech, Hiszpanii i Wielkiej Brytanii. Wiadomości zawierała dokument Worda z obsługą makr, zaprojektowany w celu pobrania droppera złośliwego oprogramowania, który wykorzystuje kod z wielu projektów GitHub.
Dropper jest zaprojektowany z funkcjami, które pomagają mu uniknąć wykrycia i analizy. Próbuje pobrać Nerbian RAT z zewnętrznego serwera, tworząc zaplanowane zadanie.
Backdoor może wykonywać takie czynności, jak rejestrowanie klawiszy, robienie zrzutów ekranu, przesyłanie plików i uruchamianie poleceń, a także komunikuje się ze swoim serwerem dowodzenia (C&C) przez SSL.
Naukowcy uważają, że zarówno początkowy ładunek, jak i RAT zostały opracowane przez tę samą osobę, chociaż „zakraplacz” może być modyfikowany w celu dostosowania do różnych ładunków.
DarkCrystal
Z kolei analitycy z BlackBerry przeprowadzili dogłębną analizę DarkCrystal RAT i aktywności w dark webie jego twórcy.
Szkodliwe oprogramowanie jest aktywne co najmniej od 2019 r. i wydaje się dziełem jednego rosyjskojęzycznego programisty, który oferuje je za jedyne 6 USD na okres dwóch miesięcy lub 40 USD za dożywotnią licencję, co stanowi zaledwie ułamek ceny za podobne narzędzia.
„Ten przedział cenowy jest ciekawą cechą, ponieważ wydaje się, że autor nie jest szczególnie nastawiony na zysk. Możliwe, że po prostu zarzucają szeroką sieć, próbując zdobyć trochę pieniędzy od wielu złośliwych aktorów. Możliwe też, że mają alternatywne źródło finansowania, a może jest to projekt związany z pasją, a nie ich główne źródło dochodu” — mówi BlackBerry.
Nazywany również DCRat i sprzedawany głównie na rosyjskich forach podziemnych, DarkCrystal RAT ma modułową konstrukcję, dzięki czemu nadaje się do dynamicznego wykonywania kodu, kradzieży danych, inwigilacji, rozpoznania lub przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).
Po uruchomieniu na zaatakowanej maszynie złośliwe oprogramowanie zbiera obszerne informacje systemowe i wysyła je do swojego serwera dowodzenia i kontroli (C&C), w tym nazwy hosta i użytkownika, lokalizację, uprawnienia, zainstalowane narzędzia bezpieczeństwa, dane płyty głównej i systemu BIOS oraz wersję systemu Windows.
DarkCrystal RAT może robić zrzuty ekranu, rejestrować naciśnięcia klawiszy i kraść różne rodzaje danych z systemu, w tym zawartość schowka, pliki cookie/hasła/historię przeglądarki, dane kart kredytowych oraz konta Telegram, Discord, Steam, FileZilla.
Produkt zawiera trzy komponenty, a mianowicie plik wykonywalny stealer/klient, interfejs C&C oraz plik wykonywalny napisany w JPHP (implementacja PHP działająca na wirtualnej maszynie Java), który pełni funkcję narzędzia administratora.
Napisany w .NET, klient DarkCrystal RAT – który zawiera strukturę wtyczek, służy ona partnerom do tworzenia wtyczki do pobrania i używania przez subskrybentów – jest stale aktualizowany, podobnie jak narzędzie administratora i oficjalnie wydane wtyczki.
Zewnętrzni deweloperzy mają dostęp do dedykowanego IDE o nazwie DCRat Studio, które można wykorzystać do tworzenia wtyczek dla złośliwego oprogramowania, podczas gdy subskrybenci mają dostęp do listy obsługiwanych wtyczek.
Cały pakiet DarkCrystal RAT jest hostowany na crystalfiles[.]ru – został przeniesiony tutaj z dcrat[.]ru – prostej strony używanej wyłącznie do pobierania. Sprzedaż i działania marketingowe odbywają się na rosyjskim forum hakerskim, a wiadomości i aktualizacje są ogłaszane za pośrednictwem Telegramu.
Autor złośliwego oprogramowania publikuje posty na forum hakerskim pod pseudonimem Кодер (Coder), ale mógł wcześniej używać nazwy użytkownika „boldenis44”, ponieważ niektórzy użytkownicy nazywają go tą nazwą. Ta sama nazwa użytkownika jest używana na GitHubie, podczas gdy w Telegramie publikują jako „@boldenis”.
BlackBerry zauważa również, że autor złośliwego oprogramowania twierdzi na swoim profilu na forum, że jest Rosjaninem i pracuje sam.
Badacze zdołali znaleźć konta „Boldenis44” na innych forach dark web, a także profil „Darkcrystal Rat” (dcrat_1994) w rosyjskiej sieci społecznościowej VKontakte. O adresie URL crystalfiles[.]ru wspomniano również inne konto VKontakte, Rodion Balkanov (Родион Балканов), które nie jest już dostępne.
„Z pewnością istnieją opcje programistyczne w tym zagrożeniu, które wskazują na to, że jest to początkujący autor złośliwego oprogramowania, który nie opracował jeszcze odpowiedniej struktury cenowej. Wybór oprogramowania zagrożenia w JPHP i dodanie dziwnie niedziałającego licznika infekcji z pewnością wskazuje na ten kierunek. Możliwe, że to zagrożenie pochodzi od autora, który próbuje zdobyć rozgłos.” — zauważa BlackBerry.