بدافزار لینوکس NerbianRAT

گروهی به نام Magnet Goblin که یک عامل تهدید با انگیزه مالی است، از آسیب‌پذیری‌های ۱ روزه مختلف برای نفوذ به سرورهای قابل دسترسی برای عموم استفاده می‌کند. آنها در هدف قرار دادن هر دو سیستم ویندوز و لینوکس تخصص دارند و بدافزارهای سفارشی شده را یک بار در داخل سیستم هدف قرار می دهند. این آسیب‌پذیری‌ها معمولاً نقص‌های ۱ روزه هستند و نقاط ضعفی هستند که با وصله‌هایی که قبلاً در دسترس هستند به صورت عمومی افشا شده‌اند. برای بهره‌برداری مؤثر از این نقص‌ها، عوامل تهدید باید قبل از اینکه اهداف بالقوه بتوانند به‌روزرسانی‌های امنیتی منتشر شده را پیاده‌سازی کنند، به سرعت وارد عمل شوند.

Magnet Goblin از تعداد زیادی آسیب پذیری برای حذف یک نوع سفارشی NerbianRAT سوء استفاده می کند.

به طور معمول، اکسپلویت ها بلافاصله پس از افشای یک نقص به آسانی قابل دسترسی نیستند. با این حال، بهره برداری از آسیب پذیری های خاص نسبتاً آسان است و مهندسی معکوس وصله می تواند مشکل اساسی و جنبه های قابل بهره برداری آن را آشکار کند. تحلیلگران امنیت اطلاعات که در مورد Magnet Goblin تحقیق کرده‌اند، خاطرنشان می‌کنند که این بازیگران به سرعت برای سوء استفاده از آسیب‌پذیری‌های جدید فاش شده، گاهی اوقات ظرف یک روز پس از انتشار یک سوءاستفاده اثبات مفهوم (PoC) حرکت می‌کنند.

هکرها طیف وسیعی از دستگاه‌ها و سرویس‌ها را هدف قرار می‌دهند، از جمله Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, QVE-2024-21887 -2023-41265، CVE-2023-41266، CVE-2023-48365) و Magento (CVE-2022-24086).

Magnet Goblin از این آسیب‌پذیری‌ها برای نفوذ به سرورهایی با بدافزارهای سفارشی، مانند NerbianRAT و MiniNerbian، همراه با نسخه سفارشی‌شده WARPWIRE JavaScript استفاده می‌کند.

NerbianRAT می تواند عملکردهای تهدیدآمیز متعددی را انجام دهد

از سال 2022، محققان از NerbianRAT برای ویندوز آگاه بودند. با این حال، آنها اکنون فاش می‌کنند که یک نوع لینوکس به‌صورت خام جمع‌آوری‌شده و در عین حال مؤثر که توسط Magnet Goblin استفاده می‌شود، از ماه می 2022 در گردش بوده است.

پس از راه‌اندازی، بدافزار اقدامات اولیه را انجام می‌دهد، مانند جمع‌آوری اطلاعات سیستم مانند زمان، نام کاربری و نام ماشین، تولید شناسه ربات، تنظیم یک آدرس IP کدگذاری‌شده به‌عنوان میزبان‌های اولیه و ثانویه، ایجاد دایرکتوری کاری، و بارگیری یک کلید RSA عمومی. برای رمزگذاری ارتباطات شبکه

به دنبال این، NerbianRAT پیکربندی خود را بارگذاری می کند، که زمان فعالیت (زمان کاری)، فواصل برای ارتباط با سرور فرمان و کنترل (C2) و سایر پارامترها را دیکته می کند.

C2 ممکن است یکی از چندین دستور را به بدافزار برای اجرا در سیستم آلوده صادر کند:

• اقدامات اضافی را درخواست کنید
• یک دستور لینوکس را در یک موضوع جدید اجرا کنید

وصله مکرر نقش حیاتی در جلوگیری از سوء استفاده های 1 روزه دارد. علاوه بر این، اجرای اقدامات اضافی مانند تقسیم‌بندی شبکه، محافظت از نقطه پایانی و احراز هویت چندعاملی می‌تواند تأثیر نقض‌های احتمالی را کاهش دهد.

بدافزار تکمیلی در کنار NerbianRAT کاهش یافت

MiniNerbian یک نسخه ساده از NerbianRAT است که عمدتاً برای اجرای دستور استفاده می شود. عملکرد آن شامل اجرای دستورات از C2 و انتقال نتایج، به‌روزرسانی برنامه‌های فعالیت (برای روزهای کامل یا ساعت‌های خاص)، و تنظیم تنظیمات است. برخلاف NerbianRAT پیچیده‌تر، MiniNerbian از طریق HTTP به جای سوکت‌های TCP خام با C2 ارتباط برقرار می‌کند، که به طور بالقوه نشان می‌دهد که به عنوان یک انتخاب برای افزونگی یا به عنوان یک درب پشتی مخفی در سناریوهای خاص توسط Magnet Goblin عمل می‌کند.