NginRAT 隱藏在 Nginx 進程中
網絡犯罪分子通常依賴於惡意植入的組合,即使它們的特徵往往重疊。這似乎是新發現的 NginRAT 的創建者使用的策略。該惡意軟件的副本是從之前感染 CronRAT 樣本的電子商務服務器中恢復的。後者也相當新,首次報導是在 2021 年 11 月的最後一周。 NginRAT 似乎也主要針對電子商務服務,並且在北美和歐洲很活躍。
NginRAT 將其活動偽裝成 Nginx 進程
之所以選擇 NginRAT 是因為這個遠程訪問木馬 (RAT) 似乎劫持了 Nginx 服務的進程名稱。這是一個簡單的混淆自身的技巧,並使其更難以發現它的存在——大多數管理員不會懷疑 Nginx 進程是危險的。
雖然 NginRAT 和CronRAT具有相似的屬性,但 NginRAT 似乎總是通過後者交付。兩種有效負載都針對專門運行 Linux 的電子商務服務器。犯罪分子很可能正在利用薄弱的登錄憑據或過時的面向 Internet 的服務中存在的漏洞。
這種遠程訪問木馬使其操作員能夠遠程執行命令,並通過他們的命令和控制服務器發送命令。由於這兩個有效載荷具有相同的功能,因此 NginRAT 很可能旨在作為發現主要有效載荷的備份。系統管理員應該使用最新的安全服務和防火牆來保護他們的網絡免受 NginRAT 和 CronRAT 負載的影響。當然,為所有軟件應用最新更新也是最好的安全措施之一。