Скрытный Nerbian RAT

[INC.]

Специалисты из Proofpoint предупредили пользователей о появлении нового трояна удаленного доступа (RAT) под названием Nerbian. RAT написан на языке Go и нацелен на организации в Великобритании, Италии и Испании.

"Троян написан на языке программирования Go, не зависящем от ОС, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа", – пишут исследователи. RAT может регистрировать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный C&C-сервер. Разработчик трояна пока неизвестен.

Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку с использованием поддельных писем на тему COVID-19. Количество таких писем не превышает 100, и они замаскированы под письма ВОЗ о мерах безопасности в условиях эпидемии. В письмах жертвам предлагается открыть документ Word с макросом, который в фоновом режиме запускает цепочку заражения.

Специалисты Proofpoint рассказали , что дроппером полезной нагрузки является UpdateUAV.exe – 64-битный исполняемый файл, размером 3,5 МБ и написанный на языке Golang. По данным исследователей, дроппер и вредоносное ПО были разработаны одним автором.

Исследователи Proofpoint заметили в Nerbian множество антианалитических компонентов, усложняющих обратный инжиниринг и проведение антиреверсивных проверок. Защитные компоненты также используются для самоликвидации трояна при обнаружении отладчиков или программ анализа памяти.

• Source: https://www.proofpoint.com/us/blog/...mes-features-sophisticated-evasion-techniques

 

[DildoFagins]

Вы меня простите, конечно, но это очень смешно:

дроппером полезной нагрузки является UpdateUAV.exe – 64-битный исполняемый файл, размером 3,5 МБ

MoUsoCore.exe is the name of the payload that the dropper binary, UpdateUAV.exe, attempts to download and establish persistence for. Like the dropper itself, it is written in Go, and is UPX packed. The size of the binary in its packed state is 5.6MB, while in its unpacked state is 9.2MB.

github.com/go-ole/go-ole – Go bindings for Windows COM (Component Object Model – inter-process communication)
github.com/gonutz/w32/v2 – Go bindings for the Win32 API
github.com/mitchellh/go-ps – Library implements OS-specific APIs to list and manipulate processes
github.com/StackExchange/wmi – Go package for Windows WMI, providing a WQL interface

Chacal is described as, “Golang anti-vm framework for Red Team and Pentesters”. However, there are several functions and references in the project designed to make debugging and reverse engineering more difficult as well.

All of the fields above, with exception of session_key form data field, utilize a unique encryption scheme. The first 70 bytes of the POST are "garbage", while the next 24 bytes contain an AES key that can be used to decrypt the remaining data. Proofpoint researchers developed a Python script that will enable decrypting this posted data

Накачали с гитхаба пакеджей для голанга, слепили из говна и палок ратник, пролили его 100 письмами, и вот вам пожалуйста - ратник с "Sophisticated Evasion Techniques", о котором надо целую статью написать. Да в нем даже не удосужились нормальное шифрование траффика сделать, чтобы его простым петоновским скриптом было нельзя вскрыть. Хоспаде, куда катится этот мир.

 

[вавилонец]

А

Вы меня простите, конечно, но это очень смешно:





Накачали с гитхаба пакеджей для голанга, слепили из говна и палок ратник, пролили его 100 письмами, и вот вам пожалуйста - ратник с "Sophisticated Evasion Techniques", о котором надо целую статью написать. Да в нем даже не удосужились нормальное шифрование траффика сделать, чтобы его простым петоновским скриптом было нельзя вскрыть. Хоспаде, куда катится этот мир.

специалисты уже бьют тревогу)))

 

[parser]

packed state is 5.6MB, while in its unpacked state is 9.2MB и размером 3,5 МБ

Троянский слон?)