NerbianRAT লিনাক্স ম্যালওয়্যার

ম্যাগনেট গবলিন নামে পরিচিত একটি গ্রুপ, যেটি একটি আর্থিকভাবে উদ্বুদ্ধ হুমকি অভিনেতা, জনসাধারণের কাছে অ্যাক্সেসযোগ্য সার্ভারে অনুপ্রবেশ করার জন্য বিভিন্ন 1-দিনের দুর্বলতা নিয়োগ করে। তারা উইন্ডোজ এবং লিনাক্স উভয় সিস্টেমকে টার্গেট করতে পারদর্শী, একবার টার্গেট করা সিস্টেমের ভিতরে কাস্টমাইজড ম্যালওয়্যার স্থাপন করে। এই দুর্বলতাগুলি সাধারণত 1-দিনের ত্রুটি এবং দুর্বলতা যা ইতিমধ্যে উপলব্ধ প্যাচগুলির সাথে সর্বজনীনভাবে প্রকাশ করা হয়েছে৷ এই ত্রুটিগুলি কার্যকরভাবে কাজে লাগানোর জন্য, সম্ভাব্য লক্ষ্যগুলি মুক্তিপ্রাপ্ত নিরাপত্তা আপডেটগুলি বাস্তবায়ন করার আগে হুমকি অভিনেতাদের দ্রুত কাজ করতে হবে।

ম্যাগনেট গবলিন একটি কাস্টম NerbianRAT ভেরিয়েন্ট ড্রপ করার জন্য একটি বড় সংখ্যক দুর্বলতাকে কাজে লাগায়

সাধারণত, একটি ত্রুটি প্রকাশের সাথে সাথে শোষণগুলি সহজে অ্যাক্সেসযোগ্য হয় না। যাইহোক, কিছু দুর্বলতাগুলিকে কাজে লাগানো তুলনামূলকভাবে সহজ, এবং প্যাচটিকে বিপরীত-ইঞ্জিনিয়ারিং অন্তর্নিহিত সমস্যা এবং এর শোষণযোগ্য দিকগুলিকে উন্মোচন করতে পারে। তথ্য নিরাপত্তা বিশ্লেষকরা যারা ম্যাগনেট গবলিন নিয়ে গবেষণা করছেন তারা নোট করেছেন যে এই অভিনেতারা নতুন প্রকাশ করা দুর্বলতাগুলিকে কাজে লাগাতে দ্রুত অগ্রসর হয়, কখনও কখনও প্রুফ অফ কনসেপ্ট (PoC) শোষণ প্রকাশের একদিনের মধ্যে।

হ্যাকাররা ইভান্তি কানেক্ট সিকিউর (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, Connectense Screen, QVEkEk (কানেক্ট ওয়াইজ) সহ বিভিন্ন ডিভাইস এবং পরিষেবাগুলিকে লক্ষ্য করে। -2023-41265, CVE-2023-41266, CVE-2023-48365) এবং Magento (CVE-2022-24086)।

ম্যাগনেট গবলিন WARPWIRE জাভাস্ক্রিপ্ট চুরিকারীর একটি কাস্টমাইজড সংস্করণ সহ NerbianRAT এবং MiniNerbian-এর মতো উপযুক্ত ম্যালওয়্যার সহ সার্ভারগুলিতে অনুপ্রবেশ করতে এই দুর্বলতাগুলিকে ব্যবহার করে৷

NerbianRAT অসংখ্য হুমকিমূলক কার্য সম্পাদন করতে পারে

2022 সাল থেকে, গবেষকরা উইন্ডোজের জন্য NerbianRAT সম্পর্কে সচেতন। যাইহোক, তারা এখন প্রকাশ করেছে যে ম্যাগনেট গবলিন দ্বারা ব্যবহৃত একটি অশোধিতভাবে সংকলিত কিন্তু কার্যকর লিনাক্স বৈকল্পিক মে 2022 থেকে প্রচারিত হচ্ছে।

আরম্ভ করার পরে, ম্যালওয়্যার প্রাথমিক কাজ করে, যেমন সময়, ব্যবহারকারীর নাম এবং মেশিনের নামের মতো সিস্টেমের তথ্য সংগ্রহ করা, একটি বট আইডি তৈরি করা, একটি হার্ডকোডেড আইপি ঠিকানা প্রাথমিক ও মাধ্যমিক হোস্ট হিসাবে সেট করা, কার্যকারী ডিরেক্টরি স্থাপন করা এবং একটি সর্বজনীন RSA কী লোড করা। নেটওয়ার্ক যোগাযোগ এনক্রিপ্ট করার জন্য।

এটি অনুসরণ করে, NerbianRAT তার কনফিগারেশন লোড করে, যা কার্যকলাপের সময় (ওয়ার্কটাইম), কমান্ড এবং নিয়ন্ত্রণ (C2) সার্ভারের সাথে যোগাযোগের জন্য বিরতি এবং অন্যান্য পরামিতি নির্দেশ করে।

C2 সংক্রামিত সিস্টেমে কার্যকর করার জন্য ম্যালওয়্যারকে বিভিন্ন কমান্ডের একটি জারি করতে পারে:

• অতিরিক্ত কর্মের অনুরোধ করুন
• একটি নতুন থ্রেডে একটি লিনাক্স কমান্ড চালান

ঘন ঘন প্যাচিং 1-দিনের শোষণ প্রতিরোধে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে। অধিকন্তু, নেটওয়ার্ক বিভাজন, এন্ডপয়েন্ট সুরক্ষা, এবং মাল্টি-ফ্যাক্টর প্রমাণীকরণের মতো অতিরিক্ত ব্যবস্থাগুলি বাস্তবায়ন করা সম্ভাব্য লঙ্ঘনের প্রভাবকে হ্রাস করতে পারে।

সম্পূরক ম্যালওয়্যার NerbianRAT এর সাথে বাদ পড়েছে

MiniNerbian হল NerbianRAT-এর একটি সুবিন্যস্ত সংস্করণ, প্রধানত কমান্ড কার্যকর করার জন্য নিযুক্ত করা হয়। এর কার্যকারিতা C2 থেকে কমান্ড কার্যকর করা এবং ফলাফল প্রেরণ, কার্যকলাপের সময়সূচী আপডেট করা (পুরো দিন বা নির্দিষ্ট ঘন্টার জন্য), এবং কনফিগারেশন সামঞ্জস্য করে। আরও জটিল NerbianRAT-এর বিপরীতে, MiniNerbian কাঁচা TCP সকেটের পরিবর্তে HTTP-এর মাধ্যমে C2-এর সাথে যোগাযোগ করে, সম্ভাব্য ইঙ্গিত করে যে এটি অপ্রয়োজনীয়তার জন্য বা ম্যাগনেট গবলিনের নির্দিষ্ট পরিস্থিতিতে একটি গোপন ব্যাকডোর হিসাবে কাজ করে।