NginRAT gjemmer seg i Nginx-prosesser

Nettkriminelle er ofte avhengige av en kombinasjon av ondsinnede implantater, selv om funksjonene deres har en tendens til å overlappe hverandre. Dette ser ut til strategien som skaperne av den nylig oppdagede NginRAT bruker. Kopier av denne skadelige programvaren ble gjenopprettet fra e-handelsservere som tidligere var infisert med CronRAT-prøven. Sistnevnte er også ganske ny, og den ble først rapportert i den siste uken i november 2021. NginRAT ser ut til å primært målrette mot e-handelstjenester også, og den er aktiv i Nord-Amerika og Europa.

NginRAT skjuler sin aktivitet som Nginx-prosessen

Navnet NginRAT ble valgt fordi denne fjerntilgangstrojaneren (RAT) ser ut til å kapre prosessnavnet til Nginx-tjenesten. Dette er et enkelt triks for å tilsløre seg selv og gjøre det vanskeligere å oppdage dens tilstedeværelse – de fleste administratorer vil ikke mistenke en Nginx-prosess for å være farlig.

Mens både NginRAT og CronRAT har lignende egenskaper, ser det ut til at NginRAT alltid ble levert via sistnevnte. Begge nyttelastene er rettet mot e-handelsservere som utelukkende kjører Linux. Det er sannsynlig at kriminelle utnytter svake påloggingsopplysninger, eller sårbarheter som finnes i utdaterte internettbaserte tjenester.

Denne fjerntilgangstrojaneren gjør det mulig for operatørene å utføre kommandoer eksternt, og sende dem gjennom deres kommando-og-kontroll-server. Siden begge nyttelastene har identiske funksjoner, er det sannsynlig at NginRAT er ment å tjene som en sikkerhetskopi i tilfelle den primære nyttelasten oppdages. Systemadministratorer bør beskytte nettverkene sine mot NginRAT- og CronRAT-nyttelastene ved å bruke oppdaterte sikkerhetstjenester og brannmur. Å bruke de siste oppdateringene for all programvare er selvfølgelig også en av de beste sikkerhetstiltakene å ta.