Κακόβουλο λογισμικό NerbianRAT Linux
Μια ομάδα γνωστή ως Magnet Goblin, η οποία είναι ένας παράγοντας απειλών με οικονομικά κίνητρα, χρησιμοποιεί διάφορα τρωτά σημεία 1 ημέρας για να διεισδύσει σε διακομιστές προσβάσιμους στο κοινό. Ειδικεύονται στη στόχευση συστημάτων Windows και Linux, αναπτύσσοντας προσαρμοσμένο κακόβουλο λογισμικό μόλις εισέλθει στο στοχευμένο σύστημα. Αυτά τα τρωτά σημεία είναι συνήθως ελαττώματα 1 ημέρας και είναι αδυναμίες που έχουν αποκαλυφθεί δημόσια με ήδη διαθέσιμες ενημερώσεις κώδικα. Για να εκμεταλλευτούν αποτελεσματικά αυτά τα ελαττώματα, οι φορείς απειλών πρέπει να ενεργήσουν γρήγορα προτού οι πιθανοί στόχοι μπορέσουν να εφαρμόσουν τις ενημερώσεις ασφαλείας που έχουν κυκλοφορήσει.
Πίνακας περιεχομένων
Το Magnet Goblin εκμεταλλεύεται έναν μεγάλο αριθμό ευπαθειών για να απορρίψει μια προσαρμοσμένη παραλλαγή NerbianRAT
Συνήθως, τα exploits δεν είναι εύκολα προσβάσιμα αμέσως μετά την αποκάλυψη ενός ελαττώματος. Ωστόσο, ορισμένα τρωτά σημεία είναι σχετικά εύκολο στην εκμετάλλευση και η αντίστροφη μηχανική της ενημέρωσης κώδικα μπορεί να αποκαλύψει το υποκείμενο ζήτημα και τις εκμεταλλεύσιμες πτυχές του. Οι αναλυτές ασφάλειας πληροφοριών που έχουν κάνει έρευνα για το Magnet Goblin σημειώνουν ότι αυτοί οι παράγοντες κινούνται γρήγορα για να εκμεταλλευτούν τα τρωτά σημεία που αποκαλύφθηκαν πρόσφατα, μερικές φορές μέσα σε μια ημέρα από την κυκλοφορία ενός Proof of Concept (PoC) εκμετάλλευσης.
Οι χάκερ στοχεύουν μια σειρά από συσκευές και υπηρεσίες, συμπεριλαμβανομένου του Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, -2023-41265, CVE-2023-41266, CVE-2023-48365) και Magento (CVE-2022-24086).
Το Magnet Goblin χρησιμοποιεί αυτά τα τρωτά σημεία για να διεισδύσει σε διακομιστές με προσαρμοσμένο κακόβουλο λογισμικό, όπως το NerbianRAT και το MiniNerbian, μαζί με μια προσαρμοσμένη έκδοση του WARPWIRE JavaScript stealer.
Το NerbianRAT μπορεί να εκτελέσει πολυάριθμες απειλητικές λειτουργίες
Από το 2022, οι ερευνητές γνώριζαν το NebianRAT για Windows. Ωστόσο, τώρα αποκαλύπτουν ότι μια ωμά μεταγλωττισμένη αλλά αποτελεσματική παραλλαγή Linux που χρησιμοποιείται από το Magnet Goblin κυκλοφορεί από τον Μάιο του 2022.
Κατά την προετοιμασία, το κακόβουλο λογισμικό αναλαμβάνει αρχικές ενέργειες, όπως συλλογή πληροφοριών συστήματος όπως ώρα, όνομα χρήστη και όνομα μηχανής, δημιουργία αναγνωριστικού bot, ορισμός μιας διεύθυνσης IP με σκληρό κώδικα ως κύριου και δευτερεύοντος κεντρικού υπολογιστή, δημιουργία του καταλόγου εργασίας και φόρτωση ενός δημόσιου κλειδιού RSA για την κρυπτογράφηση της επικοινωνίας δικτύου.
Μετά από αυτό, το NerbianRAT φορτώνει τη διαμόρφωσή του, η οποία υπαγορεύει τους χρόνους δραστηριότητας (χρόνος εργασίας), τα διαστήματα επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C2) και άλλες παραμέτρους.
Το C2 μπορεί να εκδώσει μία από τις πολλές εντολές στο κακόβουλο λογισμικό για εκτέλεση στο μολυσμένο σύστημα:
- Ζητήστε πρόσθετες ενέργειες
- Εκτελέστε μια εντολή Linux σε ένα νέο νήμα
Η συχνή επιδιόρθωση διαδραματίζει ζωτικό ρόλο στην πρόληψη των εκμεταλλεύσεων μιας ημέρας. Επιπλέον, η εφαρμογή πρόσθετων μέτρων όπως η τμηματοποίηση δικτύου, η προστασία τελικού σημείου και ο έλεγχος ταυτότητας πολλαπλών παραγόντων μπορεί να μειώσει τον αντίκτυπο των πιθανών παραβιάσεων.
Το συμπληρωματικό κακόβουλο λογισμικό έπεσε παράλληλα με το NerbianRAT
Το MiniNerbian είναι μια βελτιωμένη έκδοση του NerbianRAT, που χρησιμοποιείται κυρίως για την εκτέλεση εντολών. Η λειτουργικότητά του περιλαμβάνει την εκτέλεση εντολών από το C2 και τη μετάδοση αποτελεσμάτων, την ενημέρωση των προγραμμάτων δραστηριοτήτων (για ολόκληρες ημέρες ή συγκεκριμένες ώρες) και την προσαρμογή των διαμορφώσεων. Σε αντίθεση με το πιο περίπλοκο NerbianRAT, το MiniNerbian επικοινωνεί με το C2 μέσω HTTP αντί για ακατέργαστες υποδοχές TCP, υποδεικνύοντας πιθανώς ότι χρησιμεύει ως επιλογή για πλεονασμό ή ως κρυφή κερκόπορτα σε συγκεκριμένα σενάρια από το Magnet Goblin.