Начиная с 26 апреля 2022 года, исследователи Proofpoint заметили кампанию по рассылке вредоносного ПО по электронной почте с небольшим объемом (менее 100 сообщений), направленную на различные отрасли. Угроза в большей степени затронула организации в Италии, Испании и Великобритании. В электронных письмах утверждалось, что они представляют Всемирную организацию здравоохранения (ВОЗ) и содержат важную информацию о COVID-19.
Nerbian RAT
Недавно выявленный Nerbian RAT использует множество компонентов для защиты от анализа, распределенных по нескольким этапам, включая несколько библиотек с открытым исходным кодом. Он написан на независимом от операционной системы (ОС) языке программирования Go, скомпилирован для 64-битных систем и использует несколько процедур шифрования для дальнейшего обхода сетевого анализа. Язык Go становится все более популярным языком, используемым субъектами угроз, вероятно, из-за низкого барьера для входа и простоты использования.
Indicators of Compromise
IPv4
- 185.121.139.249
Domains
- www.fernandestechnical.com
URLs
- hxxps://www.fernandestechnical.com/pub/health_check.php
MD5
- d7888fea6047b662a30bf00edac4c3ee
- 9cca59eec5af63e42cd845b67cf6df89
- 5d5bc970f975341558b8d2c225ca0115
SHA1
- 8137670512be55796f612e41602f505955b0bb0c
- 178aad6c7918cc495a908944e79143a913630890
- 4f74826ed56cda233cfc12b86fd1b7da4a9f2e56
SHA256
- ee1bbd856bf72a79221baa0f7e97aafb6051129905d62d74a37ae7754fccc3db
- 1b8c9e7c150bacd466fbe7f12b39883821f23b67cae0a427a57dc37e5ea4390f
- 902c65435b6b44cfda1156b0e7c6a30b2785fa4f2cbb9b1944a66f5146ec7aa5