Multi-License Discount Quote
Uncategorized Linuxový malware NerbianRAT

Linuxový malware NerbianRAT

V roce Mezo v roce Uncategorized
Přeložit do:
Čeština

Skupina známá jako Magnet Goblin, která je finančně motivovaným aktérem hrozeb, využívá různé jednodenní zranitelnosti k infiltraci serverů přístupných veřejnosti. Specializují se na cílení na systémy Windows i Linux a nasazují přizpůsobený malware, jakmile se do cílového systému zapojí. Tyto zranitelnosti jsou obvykle jednodenní chyby a jsou to slabiny, které byly veřejně odhaleny s již dostupnými záplatami. Aby bylo možné tyto nedostatky efektivně využít, musí aktéři hrozeb jednat rychle, než mohou potenciální cíle implementovat vydané aktualizace zabezpečení.

Magnet Goblin využívá velké množství zranitelností k odstranění vlastní varianty NerbianRAT

Obvykle nejsou exploity snadno dostupné ihned po odhalení chyby. Některá zranitelnosti se však dají poměrně snadno zneužít a reverzní inženýrství opravy může odhalit základní problém a jeho zneužitelné aspekty. Analytici informační bezpečnosti, kteří zkoumali Magnet Goblin, poznamenávají, že tito aktéři rychle využívají nově odhalené zranitelnosti, někdy během jednoho dne od vydání exploitu Proof of Concept (PoC).

Hackeři se zaměřují na řadu zařízení a služeb, včetně Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) a Magento (CVE-2022-24086).

Magnet Goblin využívá tyto zranitelnosti k infiltraci serverů pomocí přizpůsobeného malwaru, jako jsou NerbianRAT a MiniNerbian, spolu s upravenou verzí WARPWIRE JavaScript stealer.

NerbianRAT může provádět řadu funkcí ohrožujících

Od roku 2022 vědci znají NerbianRAT pro Windows. Nyní však odhalují, že hrubě zkompilovaná, ale účinná linuxová varianta, kterou využívá Magnet Goblin, je v oběhu od května 2022.

Po inicializaci provede malware počáteční akce, jako je shromáždění systémových informací, jako je čas, uživatelské jméno a název počítače, vygenerování ID bota, nastavení pevně zakódované IP adresy jako primárního a sekundárního hostitele, vytvoření pracovního adresáře a načtení veřejného klíče RSA. pro šifrování síťové komunikace.

Poté NerbianRAT načte svou konfiguraci, která určuje dobu činnosti (pracovní dobu), intervaly pro komunikaci s příkazovým a řídicím (C2) serverem a další parametry.

C2 může vydat jeden z několika příkazů malwaru pro provedení na infikovaném systému:

  • Vyžádejte si další akce
  • Spusťte příkaz Linuxu v novém vlákně
  • Odeslat výsledky příkazu a vymazat soubor; zastavit všechny probíhající příkazy
  • Okamžitě spusťte příkaz Linux
  • Nic nedělej
  • Upravte interval připojení
  • Upravte a uložte nastavení pracovní doby
  • Poskytněte časování nečinnosti, konfiguraci nebo výsledky příkazů
  • Aktualizujte konkrétní konfigurační proměnnou
  • Obnovte vyrovnávací paměť příkazů pro provádění příkazů C2

    • Časté opravy hrají zásadní roli v prevenci jednodenních exploitů. Navíc implementace dalších opatření, jako je segmentace sítě, ochrana koncových bodů a vícefaktorová autentizace, může snížit dopad potenciálních narušení.

    Vedle NerbianRAT klesl i doplňkový malware

    MiniNerbian je zjednodušená verze NerbianRAT, která se používá převážně pro provádění příkazů. Jeho funkčnost zahrnuje provádění příkazů z C2 a přenos výsledků, aktualizaci plánů činností (na celé dny nebo konkrétní hodiny) a úpravu konfigurací. Na rozdíl od složitějšího NerbianRAT komunikuje MiniNerbian s C2 prostřednictvím HTTP namísto hrubých TCP soketů, což potenciálně naznačuje, že slouží jako volba redundance nebo jako skrytá zadní vrátka ve specifických scénářích od Magnet Goblin.

    Načítání...