NerbianRAT Linuxi pahavara
Magnet Goblini nime all tuntud rühmitus, mis on rahaliselt motiveeritud ohus osaleja, kasutab avalikkusele juurdepääsetavatesse serveritesse tungimiseks mitmesuguseid 1-päevaseid turvaauke. Nad on spetsialiseerunud nii Windowsi kui ka Linuxi süsteemide sihtimisele, juurutades kohandatud pahavara sihitud süsteemis. Need haavatavused on tavaliselt 1-päevased vead ja need on nõrgad kohad, mis on juba saadaval olevate plaastritega avalikult avaldatud. Nende puuduste tõhusaks ärakasutamiseks peavad ohus osalejad kiiresti tegutsema, enne kui potentsiaalsed sihtmärgid saavad välja antud turvavärskendusi rakendada.
Sisukord
Magnet Goblin kasutab kohandatud NerbianRAT-i variandi mahajätmiseks ära suurt hulka haavatavusi
Tavaliselt ei ole ärakasutamine kohe pärast vea avalikustamist hõlpsasti juurdepääsetav. Teatud turvaauke on aga suhteliselt lihtne ära kasutada ja plaastri pöördprojekteerimine võib paljastada selle aluseks oleva probleemi ja selle kasutatavad aspektid. Magnet Goblinit uurinud infoturbe analüütikud märgivad, et need osalejad hakkavad kiiresti kasutama äsja avalikustatud turvaauke, mõnikord isegi päeva jooksul pärast kontseptsiooni tõendi (PoC) väljalaskmist.
Häkkerid sihivad mitmesuguseid seadmeid ja teenuseid, sealhulgas Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE) -2023-41265, CVE-2023-41266, CVE-2023-48365) ja Magento (CVE-2022-24086).
Magnet Goblin kasutab neid haavatavusi, et tungida serveritesse kohandatud pahavaraga, nagu NerbianRAT ja MiniNerbian, koos WARPWIRE JavaScripti varguse kohandatud versiooniga.
NerbianRAT suudab täita mitmeid ähvardavaid funktsioone
Alates 2022. aastast on teadlased olnud Windowsi jaoks mõeldud NerbianRAT-ist teadlikud. Nüüd näitavad nad aga, et Magnet Goblini kasutatud jämedalt koostatud, kuid tõhus Linuxi variant on ringelnud alates 2022. aasta maist.
Initsialiseerimisel teeb pahavara esmased toimingud, näiteks kogub süsteemiteavet, nagu aeg, kasutajanimi ja masina nimi, genereerib roboti ID, määrab põhi- ja sekundaarseks hostiks kõvakoodiga IP-aadressi, loob töökataloogi ja laadib avaliku RSA-võtme. võrguside krüptimiseks.
Pärast seda laadib NerbianRAT oma konfiguratsiooni, mis määrab tegevusajad (tööaeg), käsu- ja juhtimisserveriga (C2) suhtlemise intervallid ja muud parameetrid.
C2 võib anda ründevarale nakatunud süsteemis täitmiseks ühe mitmest käsust:
- Taotlege lisatoiminguid
- Käivitage Linuxi käsk uues lõimes
Sagedane lappimine mängib 1-päevaste ärakasutamiste ärahoidmisel üliolulist rolli. Lisaks võib täiendavate meetmete, nagu võrgu segmenteerimine, lõpp-punkti kaitse ja mitmefaktoriline autentimine, rakendamine vähendada võimalike rikkumiste mõju.
Täiendav pahavara langes koos NerbianRATiga
MiniNerbian on NerbianRATi täiustatud versioon, mida kasutatakse peamiselt käskude täitmiseks. Selle funktsionaalsus hõlmab C2 käskude täitmist ja tulemuste edastamist, tegevuskavade värskendamist (täispäevade või kindlate tundide jaoks) ja konfiguratsioonide kohandamist. Erinevalt keerukamast NerbianRAT-ist suhtleb MiniNerbian C2-ga HTTP kaudu, mitte töötlemata TCP-pistikupesade kaudu, mis võib viidata sellele, et Magnet Goblini teatud stsenaariumide korral on see valik koondamiseks või varjatud tagauks.