NginRAT slepiasi Nginx procesuose

Kibernetiniai nusikaltėliai dažnai pasikliauja kenkėjiškų implantų deriniu, net jei jų savybės dažniausiai sutampa. Tai atrodo strategija, kurią naudoja naujai pastebėto NginRAT kūrėjai. Šios kenkėjiškos programos kopijos buvo atkurtos iš el. prekybos serverių, kurie anksčiau buvo užkrėsti CronRAT pavyzdžiu. Pastaroji taip pat yra gana nauja ir pirmą kartą buvo pranešta paskutinę 2021 m. lapkričio mėn. savaitę. Panašu, kad NginRAT taip pat pirmiausia taikoma el. prekybai, ji veikia Šiaurės Amerikoje ir Europoje.

NginRAT užmaskuoja savo veiklą kaip Nginx procesą

Pavadinimas NginRAT buvo pasirinktas, nes atrodo, kad šis nuotolinės prieigos Trojos arklys (RAT) užgrobia Nginx paslaugos proceso pavadinimą. Tai paprastas triukas, leidžiantis užmaskuoti save ir apsunkinti jo buvimo pastebėjimą – dauguma administratorių neįtartų, kad Nginx procesas yra pavojingas.

Nors ir NginRAT, ir CronRAT turi panašias savybes, atrodo, kad NginRAT visada buvo pristatytas per pastarąjį. Abu naudingieji kroviniai skirti tik el. prekybos serveriams, kuriuose veikia tik „Linux“. Tikėtina, kad nusikaltėliai naudojasi silpnais prisijungimo duomenimis arba pasenusių interneto paslaugų pažeidžiamumu.

Šis nuotolinės prieigos Trojos arklys leidžia jo operatoriams nuotoliniu būdu vykdyti komandas, siunčiant jas per komandų ir valdymo serverį. Kadangi abu naudingieji kroviniai turi identiškas savybes, tikėtina, kad NginRAT yra skirtas naudoti kaip atsarginė kopija, jei būtų aptiktas pagrindinis krovinys. Sistemos administratoriai turėtų apsaugoti savo tinklus nuo NginRAT ir CronRAT naudingųjų apkrovų naudodami naujausias saugos paslaugas ir ugniasienę. Žinoma, naujausių atnaujinimų taikymas visai programinei įrangai taip pat yra viena geriausių saugumo priemonių.