Programari maliciós NerbianRAT Linux
Un grup conegut com Magnet Goblin, que és un actor d'amenaces amb motivació financera, utilitza diverses vulnerabilitats d'1 dia per infiltrar-se en servidors accessibles al públic. S'especialitzen a orientar tant sistemes Windows com Linux, desplegant programari maliciós personalitzat un cop dins del sistema objectiu. Aquestes vulnerabilitats solen ser defectes d'1 dia i són debilitats que s'han revelat públicament amb pedaços que ja estan disponibles. Per explotar eficaçment aquests defectes, els actors de les amenaces han d'actuar ràpidament abans que els objectius potencials puguin implementar les actualitzacions de seguretat publicades.
Taula de continguts
The Magnet Goblin explota un gran nombre de vulnerabilitats per deixar anar una variant personalitzada de NerbianRAT
Normalment, les explotacions no són fàcilment accessibles immediatament després de la revelació d'una fallada. Tanmateix, certes vulnerabilitats són relativament fàcils d'explotar, i l'enginyeria inversa del pedaç pot revelar el problema subjacent i els seus aspectes explotables. Els analistes de seguretat de la informació que han estat investigant el Magnet Goblin assenyalen que aquests actors es mouen ràpidament per explotar les vulnerabilitats recentment revelades, de vegades en un dia després de l'explotació de la prova de concepte (PoC).
Els pirates informàtics es dirigeixen a una sèrie de dispositius i serveis, com ara Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) i Magento (CVE-2022-24086).
El Magnet Goblin utilitza aquestes vulnerabilitats per infiltrar-se als servidors amb programari maliciós a mida, com ara NerbianRAT i MiniNerbian, juntament amb una versió personalitzada del robatori de JavaScript WARPWIRE.
El NerbianRAT pot realitzar nombroses funcions amenaçadores
Des del 2022, els investigadors coneixen NerbianRAT per a Windows. Tanmateix, ara revelen que des del maig de 2022 circula una variant de Linux molt eficaç i compilada que utilitza Magnet Goblin.
Després de la inicialització, el programari maliciós realitza accions inicials, com ara recopilar informació del sistema com ara l'hora, el nom d'usuari i el nom de la màquina, generar un ID de bot, establir una adreça IP codificada com a host primari i secundari, establir el directori de treball i carregar una clau RSA pública. per xifrar la comunicació de xarxa.
A continuació, NerbianRAT carrega la seva configuració, que dicta temps d'activitat (temps de treball), intervals de comunicació amb el servidor d'ordres i control (C2) i altres paràmetres.
El C2 pot emetre una de les diverses ordres al programari maliciós per executar-les al sistema infectat:
- Sol·licita accions addicionals
- Executeu una ordre de Linux en un fil nou
Els pedaços freqüents tenen un paper vital en la prevenció d'explotacions d'1 dia. A més, la implementació de mesures addicionals com la segmentació de la xarxa, la protecció del punt final i l'autenticació multifactorial pot reduir l'impacte de possibles incompliments.
El programari maliciós suplementari es va eliminar juntament amb NerbianRAT
MiniNerbian és una versió simplificada de NerbianRAT, emprada principalment per a l'execució d'ordres. La seva funcionalitat inclou l'execució d'ordres des del C2 i la transmissió de resultats, l'actualització dels horaris d'activitat (per a dies complets o hores específiques) i l'ajust de configuracions. A diferència del NerbianRAT més complex, MiniNerbian es comunica amb el C2 mitjançant HTTP en comptes de sòcols TCP en brut, cosa que pot indicar que serveix com a opció per a la redundància o com a porta del darrere encoberta en escenaris específics de Magnet Goblin.