البرامج الضارة لنظام Linux من برنامج NerbianRAT

تستخدم مجموعة تُعرف باسم Magnet Goblin، وهي جهة تهديد ذات دوافع مالية، العديد من نقاط الضعف لمدة يوم واحد للتسلل إلى الخوادم التي يمكن للجمهور الوصول إليها. إنهم متخصصون في استهداف أنظمة Windows وLinux، ونشر برامج ضارة مخصصة بمجرد دخولها إلى النظام المستهدف. عادةً ما تكون نقاط الضعف هذه عبارة عن عيوب مدتها يوم واحد وهي نقاط ضعف تم الكشف عنها علنًا باستخدام التصحيحات المتوفرة بالفعل. لاستغلال هذه العيوب بشكل فعال، يجب على الجهات التهديدية التصرف بسرعة قبل أن تتمكن الأهداف المحتملة من تنفيذ التحديثات الأمنية التي تم إصدارها.

يستغل Magnet Goblin عددًا كبيرًا من الثغرات الأمنية لإسقاط متغير NerbianRAT المخصص

عادةً، لا يمكن الوصول بسهولة إلى برامج استغلال الثغرات فور اكتشاف الخلل. ومع ذلك، من السهل نسبيًا استغلال بعض الثغرات الأمنية، ويمكن أن تكشف الهندسة العكسية للتصحيح عن المشكلة الأساسية وجوانبها القابلة للاستغلال. لاحظ محللو أمن المعلومات الذين أجروا أبحاثًا حول Magnet Goblin أن هذه الجهات الفاعلة تتحرك بسرعة لاستغلال الثغرات الأمنية التي تم الكشف عنها حديثًا، أحيانًا في غضون يوم واحد من إطلاق استغلال إثبات المفهوم (PoC).

يستهدف المتسللون مجموعة من الأجهزة والخدمات، بما في ذلك Ivanti Connect Secure (CVE-2023-46805، CVE-2024-21887، CVE-2024-21888، CVE-2024-21893)، Apache ActiveMQ، ConnectWise ScreenConnect، Qlik Sense (CVE). -2023-41265، CVE-2023-41266، CVE-2023-48365) وMagento (CVE-2022-24086).

يستخدم Magnet Goblin هذه الثغرات الأمنية للتسلل إلى الخوادم باستخدام برامج ضارة مخصصة، مثل NerbianRAT وMinNerbian، إلى جانب إصدار مخصص من برنامج سرقة WARPWIRE JavaScript.

يمكن لـNerbianRAT أداء العديد من وظائف التهديد

منذ عام 2022، أصبح الباحثون على علم ببرنامج NerbianRAT لنظام التشغيل Windows. ومع ذلك، فقد كشفوا الآن أن متغير Linux الذي تم تجميعه بشكل فظ ولكنه فعال والذي يستخدمه Magnet Goblin تم تداوله منذ مايو 2022.

عند التهيئة، تتخذ البرامج الضارة إجراءات أولية، مثل جمع معلومات النظام مثل الوقت واسم المستخدم واسم الجهاز، وإنشاء معرف الروبوت، وتعيين عنوان IP مشفر كمضيفين أساسيين وثانويين، وإنشاء دليل العمل، وتحميل مفتاح RSA عام لتشفير اتصالات الشبكة.

بعد ذلك، يقوم NerbianRAT بتحميل التكوين الخاص به، والذي يحدد أوقات النشاط (وقت العمل)، والفواصل الزمنية للاتصال مع خادم الأمر والتحكم (C2)، والمعلمات الأخرى.

قد يصدر C2 واحدًا من عدة أوامر للبرامج الضارة لتنفيذها على النظام المصاب:

• طلب إجراءات إضافية
• قم بتنفيذ أمر Linux في موضوع جديد

يلعب التصحيح المتكرر دورًا حيويًا في منع عمليات استغلال اليوم الواحد. علاوة على ذلك، فإن تنفيذ تدابير إضافية مثل تجزئة الشبكة، وحماية نقطة النهاية، والمصادقة متعددة العوامل يمكن أن يقلل من تأثير الانتهاكات المحتملة.

تم إسقاط البرامج الضارة التكميلية جنبًا إلى جنب مع برنامج NerbianRAT

MiniNerbian هو نسخة مبسطة من NerbianRAT، يستخدم في الغالب لتنفيذ الأوامر. تشمل وظائفه تنفيذ الأوامر من C2 ونقل النتائج وتحديث جداول الأنشطة (لأيام كاملة أو ساعات محددة) وضبط التكوينات. على عكس NerbianRAT الأكثر تعقيدًا، يتواصل MiniNerbian مع C2 من خلال HTTP بدلاً من مآخذ TCP الأولية، مما يشير إلى أنه يعمل كخيار للتكرار أو كباب خلفي سري في سيناريوهات محددة بواسطة Magnet Goblin.