Az NginRAT az Nginx folyamatokban rejtőzik
A kiberbűnözők gyakran rosszindulatú implantátumok kombinációjára hagyatkoznak, még akkor is, ha jellemzőik általában átfedik egymást. Ez az a stratégia, amelyet az újonnan felfedezett NginRAT készítői használnak. Ennek a rosszindulatú programnak a másolatait azokról az eCommerce szerverekről állították helyre, amelyeket korábban a CronRAT minta fertőzött meg. Ez utóbbi szintén meglehetősen új, és először 2021 novemberének utolsó hetében jelentek meg. Úgy tűnik, az NginRAT elsősorban az e-kereskedelmi szolgáltatásokat célozza meg, és Észak-Amerikában és Európában is aktív.
Az NginRAT tevékenységét Nginx-folyamatként álcázza
Az NginRAT név azért lett kiválasztva, mert úgy tűnik, hogy ez a távelérési trójai (RAT) eltéríti az Nginx szolgáltatás folyamatnevét. Ez egy egyszerű trükk, amellyel elhomályosítja magát, és megnehezíti jelenlétének észlelését – a legtöbb rendszergazda nem gyanítja, hogy egy Nginx-folyamat veszélyes.
Bár mind a NginRAT és CronRAT hasonló tulajdonságokkal rendelkeznek, úgy tűnik, hogy a NginRAT mindig közvetlenül az utóbbin keresztül. Mindkét hasznos adat kizárólag Linuxot futtató e-kereskedelmi szervereket céloz meg. Valószínű, hogy a bűnözők gyenge bejelentkezési adatokat, vagy az elavult internetes szolgáltatások sérülékenységét használják ki.
Ez a távelérési trójai program lehetővé teszi kezelői számára, hogy parancsokat távolról hajtsanak végre, a parancs- és vezérlőszerverükön keresztül küldve azokat. Mivel mindkét rakomány azonos tulajdonságokkal rendelkezik, valószínű, hogy az NginRAT tartalékként szolgál arra az esetre, ha az elsődleges rakományt felfedeznék. A rendszergazdáknak naprakész biztonsági szolgáltatások és tűzfal használatával kell védeniük hálózataikat az NginRAT és CronRAT terhelésekkel szemben. Természetesen a legújabb frissítések alkalmazása az összes szoftverhez az egyik legjobb biztonsági intézkedés is.