NerbianRAT Linux Malware
En gruppe kendt som Magnet Goblin, som er en økonomisk motiveret trusselsaktør, anvender forskellige 1-dags sårbarheder til at infiltrere servere, der er tilgængelige for offentligheden. De har specialiseret sig i at målrette mod både Windows- og Linux-systemer og implementere tilpasset malware én gang inde i det målrettede system. Disse sårbarheder er normalt 1-dags fejl og er svagheder, der er blevet offentliggjort med patches, der allerede er tilgængelige. For effektivt at udnytte disse fejl skal trusselsaktører handle hurtigt, før potentielle mål kan implementere de frigivne sikkerhedsopdateringer.
Indholdsfortegnelse
Magnet Goblin udnytter et stort antal sårbarheder for at droppe en tilpasset NerbianRAT-variant
Typisk er udnyttelser ikke let tilgængelige umiddelbart efter afsløringen af en fejl. Visse sårbarheder er dog relativt nemme at udnytte, og reverse-engineering af patchen kan afsløre det underliggende problem og dets udnyttelige aspekter. Informationssikkerhedsanalytikere, der har forsket i Magnet Goblin, bemærker, at disse aktører bevæger sig hurtigt for at udnytte nyligt afslørede sårbarheder, nogle gange inden for en dag efter, at en Proof of Concept (PoC) udnyttelse er blevet frigivet.
Hackerne retter sig mod en række enheder og tjenester, herunder Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) og Magento (CVE-2022-24086).
Magnet Goblin udnytter disse sårbarheder til at infiltrere servere med skræddersyet malware, såsom NerbianRAT og MiniNerbian, sammen med en tilpasset version af WARPWIRE JavaScript-tyveren.
NerbianRAT kan udføre adskillige truende funktioner
Siden 2022 har forskere været opmærksomme på NerbianRAT til Windows. Men de afslører nu, at en groft kompileret, men effektiv Linux-variant brugt af Magnet Goblin har cirkuleret siden maj 2022.
Ved initialisering udfører malwaren indledende handlinger, såsom at indsamle systemoplysninger som tid, brugernavn og maskinnavn, generere et bot-id, indstille en hårdkodet IP-adresse som primære og sekundære værter, etablere arbejdsbiblioteket og indlæse en offentlig RSA-nøgle til kryptering af netværkskommunikation.
Efter dette indlæser NerbianRAT sin konfiguration, som dikterer aktivitetstider (arbejdstid), intervaller for kommunikation med kommando- og kontrolserveren (C2) og andre parametre.
C2 kan udstede en af flere kommandoer til malwaren til udførelse på det inficerede system:
- Anmod om yderligere handlinger
- Udfør en Linux-kommando i en ny tråd
Hyppig patching spiller en afgørende rolle i at forhindre 1-dags udnyttelser. Desuden kan implementering af yderligere foranstaltninger som netværkssegmentering, slutpunktsbeskyttelse og multifaktorautentificering reducere virkningen af potentielle brud.
Den supplerende malware faldt sammen med NerbianRAT
MiniNerbian er en strømlinet version af NerbianRAT, der overvejende bruges til kommandoudførelse. Dens funktionalitet omfatter udførelse af kommandoer fra C2 og overførsel af resultater, opdatering af aktivitetsplaner (for hele dage eller bestemte timer) og justering af konfigurationer. I modsætning til den mere indviklede NerbianRAT, kommunikerer MiniNerbian med C2 gennem HTTP i stedet for rå TCP-sockets, hvilket potentielt indikerer, at det tjener som et valg for redundans eller som en skjult bagdør i specifikke scenarier af Magnet Goblin.