NerbianRAT Linux ļaunprātīga programmatūra
Grupa, kas pazīstama kā Magnet Goblin, kas ir finansiāli motivēts apdraudējums, izmanto dažādas 1 dienas ievainojamības, lai iefiltrētos sabiedrībai pieejamos serveros. Viņi specializējas gan Windows, gan Linux sistēmu mērķauditorijas atlasē, izvietojot pielāgotu ļaunprātīgu programmatūru mērķa sistēmā. Šīs ievainojamības parasti ir vienas dienas nepilnības, un tās ir publiski atklātas ar jau pieejamajiem ielāpiem. Lai efektīvi izmantotu šos trūkumus, apdraudējuma dalībniekiem ir jārīkojas ātri, pirms potenciālie mērķi var ieviest izlaistos drošības atjauninājumus.
Satura rādītājs
Magnet Goblin izmanto lielu skaitu ievainojamību, lai atmestu pielāgotu NerbianRAT variantu
Parasti ekspluatācijas veidi nav viegli pieejami uzreiz pēc nepilnības atklāšanas. Tomēr noteiktas ievainojamības ir salīdzinoši viegli izmantot, un ielāpa reversā inženierija var atklāt pamatā esošo problēmu un tās izmantojamos aspektus. Informācijas drošības analītiķi, kas ir pētījuši Magnet Goblin, atzīmē, ka šie dalībnieki ātri pāriet, lai izmantotu nesen atklātās ievainojamības, dažreiz vienas dienas laikā pēc Proof of Concept (PoC) ekspluatācijas izlaišanas.
Hakeri ir vērsti pret dažādām ierīcēm un pakalpojumiem, tostarp Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) un Magento (CVE-2022-24086).
Magnet Goblin izmanto šīs ievainojamības, lai iefiltrētos serveros ar pielāgotu ļaunprātīgu programmatūru, piemēram, NerbianRAT un MiniNerbian, kā arī pielāgotu WARPWIRE JavaScript zagļa versiju.
NerbianRAT var veikt daudzas apdraudošas funkcijas
Kopš 2022. gada pētnieki ir informēti par NerbianRAT operētājsistēmai Windows. Tomēr tagad viņi atklāj, ka rupji apkopots, bet efektīvs Linux variants, ko izmanto Magnet Goblin, ir izplatīts kopš 2022. gada maija.
Inicializācijas laikā ļaunprogrammatūra veic sākotnējās darbības, piemēram, apkopo sistēmas informāciju, piemēram, laiku, lietotājvārdu un mašīnas nosaukumu, ģenerē robota ID, iestata cietkodētu IP adresi kā primāro un sekundāro resursdatoru, izveido darba direktoriju un ielādē publisko RSA atslēgu. tīkla sakaru šifrēšanai.
Pēc tam NerbianRAT ielādē savu konfigurāciju, kas nosaka darbības laiku (darba laiku), intervālus saziņai ar komandu un vadības (C2) serveri un citus parametrus.
C2 var izdot vienu no vairākām komandām ļaunprogrammatūrai, lai tā tiktu izpildīta inficētajā sistēmā:
- Pieprasiet papildu darbības
- Izpildiet Linux komandu jaunā pavedienā
Bieža ielāpu veikšana ir ļoti svarīga, lai novērstu 1 dienu ilgas darbības. Turklāt, ieviešot papildu pasākumus, piemēram, tīkla segmentāciju, galapunktu aizsardzību un vairāku faktoru autentifikāciju, var samazināt iespējamo pārkāpumu ietekmi.
Papildu ļaunprogrammatūra tika noņemta līdzās NerbianRAT
MiniNerbian ir racionalizēta NerbianRAT versija, ko galvenokārt izmanto komandu izpildei. Tās funkcionalitāte ietver komandu izpildi no C2 un rezultātu pārsūtīšanu, aktivitāšu grafiku atjaunināšanu (pilnām dienām vai noteiktām stundām) un konfigurāciju pielāgošanu. Atšķirībā no sarežģītākā NerbianRAT, MiniNerbian sazinās ar C2, izmantojot HTTP, nevis neapstrādātas TCP ligzdas, potenciāli norādot, ka tas kalpo kā redundances izvēle vai kā slēpta aizmugures durvis īpašos Magnet Goblin scenārijos.