NerbianRAT Linux зловреден софтуер
Група, известна като Magnet Goblin, която е финансово мотивирана заплаха, използва различни еднодневни уязвимости, за да проникне в сървъри, достъпни за обществеността. Те са специализирани в насочването както към Windows, така и към Linux системите, внедрявайки персонализиран злонамерен софтуер веднъж в целевата система. Тези уязвимости обикновено са 1-дневни недостатъци и са слабости, които са били публично разкрити с вече налични корекции. За да използват ефективно тези пропуски, участниците в заплахата трябва да действат бързо, преди потенциалните цели да могат да внедрят издадените актуализации за сигурност.
Съдържание
Magnet Goblin използва голям брой уязвимости, за да пусне персонализиран вариант на NerbianRAT
Обикновено експлойтите не са лесно достъпни веднага след разкриването на пропуск. Някои уязвимости обаче са сравнително лесни за използване и обратното проектиране на корекцията може да разкрие основния проблем и неговите експлоатируеми аспекти. Анализаторите по информационна сигурност, които са проучвали Magnet Goblin, отбелязват, че тези участници се движат бързо, за да използват новоразкритите уязвимости, понякога в рамките на един ден след пускането на Proof of Concept (PoC) експлоатация.
Хакерите са насочени към редица устройства и услуги, включително Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) и Magento (CVE-2022-24086).
Magnet Goblin използва тези уязвимости, за да проникне в сървъри с персонализиран злонамерен софтуер, като NerbianRAT и MiniNerbian, заедно с персонализирана версия на WARPWIRE JavaScript крадец.
NerbianRAT може да изпълнява множество заплашителни функции
От 2022 г. изследователите са наясно с NerbianRAT за Windows. Сега обаче те разкриват, че грубо компилиран, но ефективен вариант на Linux, използван от Magnet Goblin, циркулира от май 2022 г.
При инициализация злонамереният софтуер предприема първоначални действия, като събиране на системна информация като време, потребителско име и име на машина, генериране на идентификатор на бот, задаване на твърдо кодиран IP адрес като първичен и вторичен хост, установяване на работна директория и зареждане на публичен RSA ключ за криптиране на мрежова комуникация.
След това NerbianRAT зарежда своята конфигурация, която диктува времената на активност (работно време), интервалите за комуникация със сървъра за командване и контрол (C2) и други параметри.
C2 може да издаде една от няколко команди на зловредния софтуер за изпълнение в заразената система:
- Поискайте допълнителни действия
- Изпълнете команда на Linux в нова нишка
Честите корекции играят жизненоважна роля за предотвратяване на експлойти за 1 ден. Освен това прилагането на допълнителни мерки като мрежово сегментиране, защита на крайни точки и многофакторно удостоверяване може да намали въздействието на потенциални пробиви.
Допълнителният зловреден софтуер отпадна заедно с NerbianRAT
MiniNerbian е опростена версия на NerbianRAT, използвана предимно за изпълнение на команди. Функционалността му включва изпълнение на команди от C2 и предаване на резултати, актуализиране на графици на дейност (за цели дни или определени часове) и коригиране на конфигурации. За разлика от по-сложния NerbianRAT, MiniNerbian комуникира с C2 чрез HTTP вместо необработени TCP сокети, което потенциално показва, че служи като избор за излишък или като скрита задна врата в специфични сценарии от Magnet Goblin.