NginRAT ukrywa się w procesach Nginx

Cyberprzestępcy często polegają na kombinacji złośliwych implantów, nawet jeśli ich funkcje zwykle się nakładają. Tak wygląda strategia, którą stosują twórcy nowo zauważonego NginRAT. Kopie tego złośliwego oprogramowania zostały odzyskane z serwerów eCommerce, które zostały wcześniej zainfekowane próbką CronRAT. Ten ostatni jest również dość nowy i po raz pierwszy został zgłoszony w ostatnim tygodniu listopada 2021 r. Wydaje się, że NginRAT jest skierowany głównie do usług eCommerce i jest aktywny w Ameryce Północnej i Europie.

NginRAT ukrywa swoją aktywność jako proces Nginx

Nazwa NginRAT została wybrana, ponieważ ten trojan zdalnego dostępu (RAT) wydaje się przejmować nazwę procesu usługi Nginx. Jest to prosta sztuczka, która pozwala zaciemnić się i utrudnić wykrycie jego obecności — większość administratorów nie podejrzewałaby, że proces Nginx jest niebezpieczny.

Chociaż zarówno NginRAT, jak i CronRAT mają podobne właściwości, wydaje się, że NginRAT był zawsze dostarczany za pośrednictwem tego drugiego. Oba ładunki są skierowane wyłącznie do serwerów eCommerce z systemem Linux. Jest prawdopodobne, że przestępcy wykorzystują słabe dane logowania lub luki w przestarzałych usługach internetowych.

Ten trojan zdalnego dostępu umożliwia swoim operatorom zdalne wykonywanie poleceń, wysyłając je przez ich serwer dowodzenia i kontroli. Ponieważ oba ładunki mają identyczne funkcje, prawdopodobnie NginRAT ma służyć jako kopia zapasowa w przypadku wykrycia podstawowego ładunku. Administratorzy systemu powinni chronić swoje sieci przed ładunkami NginRAT i CronRAT, korzystając z aktualnych usług bezpieczeństwa i zapory. Oczywiście stosowanie najnowszych aktualizacji dla całego oprogramowania jest również jednym z najlepszych środków bezpieczeństwa, jakie należy podjąć.