NginRAT versteckt sich in Nginx-Prozessen

Cyberkriminelle verlassen sich oft auf eine Kombination bösartiger Implantate, auch wenn sich deren Funktionen tendenziell überschneiden. Dies scheint die Strategie zu sein, die die Schöpfer des neu entdeckten NginRAT verwenden. Kopien dieser Malware wurden von eCommerce-Servern wiederhergestellt, die zuvor mit dem CronRAT-Beispiel infiziert waren. Letzteres ist auch ziemlich neu und wurde erstmals in der letzten Novemberwoche 2021 gemeldet. Die NginRAT scheint auch hauptsächlich auf E-Commerce-Dienste abzuzielen und ist in Nordamerika und Europa aktiv.

NginRAT tarnt seine Aktivität als Nginx-Prozess

Der Name NginRAT wurde gewählt, weil dieser Remote Access Trojan (RAT) den Prozessnamen des Nginx-Dienstes zu kapern scheint. Dies ist ein einfacher Trick, um sich selbst zu verschleiern und es schwieriger zu machen, seine Anwesenheit zu erkennen – die meisten Administratoren würden einen Nginx-Prozess nicht als gefährlich vermuten.

Während sowohl NginRAT als auch CronRAT ähnliche Eigenschaften haben, scheint es, dass die NginRAT immer über letztere geliefert wurde. Beide Nutzlasten zielen ausschließlich auf E-Commerce-Server ab, auf denen Linux ausgeführt wird. Es ist wahrscheinlich, dass die Kriminellen schwache Anmeldeinformationen oder Schwachstellen in veralteten Internetdiensten ausnutzen.

Dieser Remote-Access-Trojaner ermöglicht es seinen Operatoren, Befehle aus der Ferne auszuführen und sie über ihren Command-and-Control-Server zu senden. Da beide Payloads identische Funktionen haben, ist es wahrscheinlich, dass NginRAT als Backup dienen soll, falls die primäre Payload entdeckt wird. Systemadministratoren sollten ihre Netzwerke vor NginRAT- und CronRAT-Nutzlasten schützen, indem sie aktuelle Sicherheitsdienste und Firewalls verwenden. Natürlich ist die Anwendung der neuesten Updates für alle Software auch eine der besten Sicherheitsmaßnahmen.