NginRATはNginxプロセスに隠れます
サイバー犯罪者は、機能が重複する傾向がある場合でも、悪意のあるインプラントの組み合わせに依存することがよくあります。これは、新しく発見されたNginRATの作成者が使用する戦略のようです。このマルウェアのコピーは、以前にCronRATサンプルに感染したeコマースサーバーから回復されました。後者もかなり新しく、2021年11月の最後の週に最初に報告されました。NginRATは主にeコマースサービスも対象としているようで、北米とヨーロッパで活動しています。
NginRATはそのアクティビティをNginxプロセスに偽装します
このリモートアクセストロイの木馬(RAT)がNginxサービスのプロセス名を乗っ取っているように見えるため、NginRATという名前が選択されました。これは、それ自体を難読化し、その存在を見つけるのをより困難にする簡単なトリックです。ほとんどの管理者は、Nginxプロセスが危険であるとは思わないでしょう。
NginRATとCronRATはどちらも同様のプロパティを持っていますが、NginRATは常に後者を介して配信されたようです。どちらのペイロードも、Linuxを排他的に実行しているeコマースサーバーを対象としています。犯罪者が弱いログイン資格情報、または古いインターネット向けサービスに存在する脆弱性を悪用している可能性があります。
このリモートアクセス型トロイの木馬は、オペレーターがコマンドをリモートで実行し、コマンドアンドコントロールサーバーを介して送信できるようにします。両方のペイロードは同じ機能を備えているため、NginRATは、プライマリペイロードが検出された場合のバックアップとして機能することを目的としている可能性があります。システム管理者は、最新のセキュリティサービスとファイアウォールを使用して、ネットワークをNginRATおよびCronRATペイロードから保護する必要があります。もちろん、すべてのソフトウェアに最新のアップデートを適用することも、取るべき最善のセキュリティ対策の1つです。