بدافزار لینوکس NerbianRAT
گروهی به نام Magnet Goblin که یک عامل تهدید با انگیزه مالی است، از آسیبپذیریهای ۱ روزه مختلف برای نفوذ به سرورهای قابل دسترسی برای عموم استفاده میکند. آنها در هدف قرار دادن هر دو سیستم ویندوز و لینوکس تخصص دارند و بدافزارهای سفارشی شده را یک بار در داخل سیستم هدف قرار می دهند. این آسیبپذیریها معمولاً نقصهای ۱ روزه هستند و نقاط ضعفی هستند که با وصلههایی که قبلاً در دسترس هستند به صورت عمومی افشا شدهاند. برای بهرهبرداری مؤثر از این نقصها، عوامل تهدید باید قبل از اینکه اهداف بالقوه بتوانند بهروزرسانیهای امنیتی منتشر شده را پیادهسازی کنند، به سرعت وارد عمل شوند.
فهرست مطالب
Magnet Goblin از تعداد زیادی آسیب پذیری برای حذف یک نوع سفارشی NerbianRAT سوء استفاده می کند.
به طور معمول، اکسپلویت ها بلافاصله پس از افشای یک نقص به آسانی قابل دسترسی نیستند. با این حال، بهره برداری از آسیب پذیری های خاص نسبتاً آسان است و مهندسی معکوس وصله می تواند مشکل اساسی و جنبه های قابل بهره برداری آن را آشکار کند. تحلیلگران امنیت اطلاعات که در مورد Magnet Goblin تحقیق کردهاند، خاطرنشان میکنند که این بازیگران به سرعت برای سوء استفاده از آسیبپذیریهای جدید فاش شده، گاهی اوقات ظرف یک روز پس از انتشار یک سوءاستفاده اثبات مفهوم (PoC) حرکت میکنند.
هکرها طیف وسیعی از دستگاهها و سرویسها را هدف قرار میدهند، از جمله Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, QVE-2024-21887 -2023-41265، CVE-2023-41266، CVE-2023-48365) و Magento (CVE-2022-24086).
Magnet Goblin از این آسیبپذیریها برای نفوذ به سرورهایی با بدافزارهای سفارشی، مانند NerbianRAT و MiniNerbian، همراه با نسخه سفارشیشده WARPWIRE JavaScript استفاده میکند.
NerbianRAT می تواند عملکردهای تهدیدآمیز متعددی را انجام دهد
از سال 2022، محققان از NerbianRAT برای ویندوز آگاه بودند. با این حال، آنها اکنون فاش میکنند که یک نوع لینوکس بهصورت خام جمعآوریشده و در عین حال مؤثر که توسط Magnet Goblin استفاده میشود، از ماه می 2022 در گردش بوده است.
پس از راهاندازی، بدافزار اقدامات اولیه را انجام میدهد، مانند جمعآوری اطلاعات سیستم مانند زمان، نام کاربری و نام ماشین، تولید شناسه ربات، تنظیم یک آدرس IP کدگذاریشده بهعنوان میزبانهای اولیه و ثانویه، ایجاد دایرکتوری کاری، و بارگیری یک کلید RSA عمومی. برای رمزگذاری ارتباطات شبکه
به دنبال این، NerbianRAT پیکربندی خود را بارگذاری می کند، که زمان فعالیت (زمان کاری)، فواصل برای ارتباط با سرور فرمان و کنترل (C2) و سایر پارامترها را دیکته می کند.
C2 ممکن است یکی از چندین دستور را به بدافزار برای اجرا در سیستم آلوده صادر کند:
- اقدامات اضافی را درخواست کنید
- یک دستور لینوکس را در یک موضوع جدید اجرا کنید
وصله مکرر نقش حیاتی در جلوگیری از سوء استفاده های 1 روزه دارد. علاوه بر این، اجرای اقدامات اضافی مانند تقسیمبندی شبکه، محافظت از نقطه پایانی و احراز هویت چندعاملی میتواند تأثیر نقضهای احتمالی را کاهش دهد.
بدافزار تکمیلی در کنار NerbianRAT کاهش یافت
MiniNerbian یک نسخه ساده از NerbianRAT است که عمدتاً برای اجرای دستور استفاده می شود. عملکرد آن شامل اجرای دستورات از C2 و انتقال نتایج، بهروزرسانی برنامههای فعالیت (برای روزهای کامل یا ساعتهای خاص)، و تنظیم تنظیمات است. برخلاف NerbianRAT پیچیدهتر، MiniNerbian از طریق HTTP به جای سوکتهای TCP خام با C2 ارتباط برقرار میکند، که به طور بالقوه نشان میدهد که به عنوان یک انتخاب برای افزونگی یا به عنوان یک درب پشتی مخفی در سناریوهای خاص توسط Magnet Goblin عمل میکند.