Το NginRAT κρύβεται στις διεργασίες Nginx
Οι εγκληματίες του κυβερνοχώρου βασίζονται συχνά σε έναν συνδυασμό κακόβουλων εμφυτευμάτων, ακόμα κι αν τα χαρακτηριστικά τους τείνουν να αλληλεπικαλύπτονται. Αυτή φαίνεται η στρατηγική που χρησιμοποιούν οι δημιουργοί του πρόσφατα εντοπισμένου NginRAT. Αντίγραφα αυτού του κακόβουλου λογισμικού ανακτήθηκαν από διακομιστές ηλεκτρονικού εμπορίου που είχαν μολυνθεί στο παρελθόν με το δείγμα CronRAT. Το τελευταίο είναι επίσης αρκετά νέο και αναφέρθηκε για πρώτη φορά την τελευταία εβδομάδα του Νοεμβρίου 2021. Το NginRAT φαίνεται να στοχεύει κυρίως σε υπηρεσίες ηλεκτρονικού εμπορίου και είναι ενεργό στη Βόρεια Αμερική και την Ευρώπη.
Το NginRAT συγκαλύπτει τη δραστηριότητά του ως διαδικασία Nginx
Το όνομα NginRAT επιλέχθηκε επειδή αυτός ο Trojan απομακρυσμένης πρόσβασης (RAT) φαίνεται να παραβιάζει το όνομα της διαδικασίας της υπηρεσίας Nginx. Αυτό είναι ένα απλό κόλπο για να θολώσει τον εαυτό του και να κάνει πιο δύσκολο τον εντοπισμό της παρουσίας του – οι περισσότεροι διαχειριστές δεν θα υποψιάζονταν ότι μια διαδικασία Nginx είναι επικίνδυνη.
Ενώ τόσο το NginRAT όσο και το CronRAT έχουν παρόμοιες ιδιότητες, φαίνεται ότι το NginRAT παραδόθηκε πάντα μέσω του τελευταίου. Και τα δύο ωφέλιμα φορτία στοχεύουν διακομιστές ηλεκτρονικού εμπορίου που εκτελούν αποκλειστικά Linux. Είναι πιθανό οι εγκληματίες να εκμεταλλεύονται αδύναμα διαπιστευτήρια σύνδεσης ή ευπάθειες που υπάρχουν σε παρωχημένες υπηρεσίες που έχουν πρόσβαση στο Διαδίκτυο.
Αυτός ο Trojan απομακρυσμένης πρόσβασης επιτρέπει στους χειριστές του να εκτελούν εντολές από απόσταση, στέλνοντάς τες μέσω του διακομιστή εντολών και ελέγχου τους. Δεδομένου ότι και τα δύο ωφέλιμα φορτία έχουν τα ίδια χαρακτηριστικά, είναι πιθανό ότι το NginRAT προορίζεται να χρησιμεύσει ως εφεδρικό σε περίπτωση που ανακαλυφθεί το κύριο ωφέλιμο φορτίο. Οι διαχειριστές συστήματος θα πρέπει να προστατεύουν τα δίκτυά τους από τα ωφέλιμα φορτία NginRAT και CronRAT χρησιμοποιώντας ενημερωμένες υπηρεσίες ασφαλείας και τείχος προστασίας. Φυσικά, η εφαρμογή των πιο πρόσφατων ενημερώσεων για όλο το λογισμικό είναι επίσης ένα από τα καλύτερα μέτρα ασφαλείας που πρέπει να ληφθούν.