NginRAT скрывается в процессах Nginx

Киберпреступники часто полагаются на комбинацию вредоносных имплантатов, даже если их функции имеют тенденцию пересекаться. Это похоже на стратегию, которую используют создатели недавно обнаруженного NginRAT. Копии этого вредоносного ПО были восстановлены с серверов электронной коммерции, которые ранее были заражены образцом CronRAT. Последний также является довольно новым, и о нем впервые было сообщено в последнюю неделю ноября 2021 года. NginRAT, похоже, нацелен в первую очередь на услуги электронной коммерции, и он активен в Северной Америке и Европе.

NginRAT маскирует свою деятельность под процесс Nginx

Имя NginRAT было выбрано, потому что этот троян удаленного доступа (RAT), похоже, перехватывает имя процесса службы Nginx. Это простой трюк, позволяющий запутать себя и усложнить обнаружение его присутствия - большинство администраторов не подозревают, что процесс Nginx опасен.

Хотя и NginRAT, и CronRAT имеют схожие свойства, похоже, что NginRAT всегда доставлялся через последний. Обе полезные нагрузки предназначены исключительно для серверов электронной коммерции под управлением Linux. Скорее всего, злоумышленники используют слабые учетные данные для входа или уязвимости, присутствующие в устаревших службах с выходом в Интернет.

Этот троянец удаленного доступа позволяет операторам удаленно выполнять команды, отправляя их через свой командно-управляющий сервер. Поскольку обе полезные нагрузки имеют идентичные функции, вполне вероятно, что NginRAT предназначен для использования в качестве резервной копии на случай обнаружения основной полезной нагрузки. Системные администраторы должны защищать свои сети от полезных нагрузок NginRAT и CronRAT, используя современные службы безопасности и межсетевой экран. Конечно, применение последних обновлений для всего программного обеспечения также является одной из лучших мер безопасности.