NginRAT 隐藏在 Nginx 进程中
网络犯罪分子通常依赖于恶意植入的组合,即使它们的特征往往重叠。这似乎是新发现的 NginRAT 的创建者使用的策略。该恶意软件的副本是从之前感染 CronRAT 样本的电子商务服务器中恢复的。后者也相当新,首次报道是在 2021 年 11 月的最后一周。 NginRAT 似乎也主要针对电子商务服务,并且在北美和欧洲很活跃。
NginRAT 将其活动伪装成 Nginx 进程
之所以选择 NginRAT 是因为这个远程访问木马 (RAT) 似乎劫持了 Nginx 服务的进程名称。这是一个简单的混淆自身的技巧,并使发现它的存在变得更加困难——大多数管理员不会怀疑 Nginx 进程是危险的。
虽然 NginRAT 和CronRAT具有相似的属性,但 NginRAT 似乎总是通过后者交付。两种有效负载都针对专门运行 Linux 的电子商务服务器。犯罪分子很可能正在利用薄弱的登录凭据或过时的面向 Internet 的服务中存在的漏洞。
这种远程访问木马使其操作员能够远程执行命令,并通过他们的命令和控制服务器发送命令。由于这两个有效载荷具有相同的功能,因此 NginRAT 很可能旨在作为发现主要有效载荷的备份。系统管理员应该使用最新的安全服务和防火墙来保护他们的网络免受 NginRAT 和 CronRAT 负载的影响。当然,为所有软件应用最新更新也是最好的安全措施之一。