NerbianRAT Linux -haittaohjelma
Magnet Goblin -niminen ryhmä, joka on taloudellisesti motivoitunut uhkatekijä, käyttää useita yhden päivän haavoittuvuuksia soluttautuakseen palvelimille, jotka ovat yleisön käytettävissä. He ovat erikoistuneet kohdistamiseen sekä Windows- että Linux-järjestelmiin ja ottavat käyttöön räätälöityjä haittaohjelmia kohdejärjestelmän sisällä. Nämä haavoittuvuudet ovat yleensä 1 päivän virheitä ja ovat heikkouksia, jotka on julkistettu jo saatavilla olevien korjaustiedostojen kanssa. Voidakseen hyödyntää näitä puutteita tehokkaasti uhkien on toimittava nopeasti, ennen kuin mahdolliset kohteet voivat ottaa käyttöön julkaistut tietoturvapäivitykset.
Sisällysluettelo
Magnet Goblin hyödyntää suurta määrää haavoittuvuuksia pudottaakseen mukautetun NerbianRAT-version
Yleensä hyväksikäytöt eivät ole helposti saatavilla heti vian paljastamisen jälkeen. Tietyt haavoittuvuudet ovat kuitenkin suhteellisen helppoja hyödyntää, ja korjaustiedoston kääntäminen voi paljastaa taustalla olevan ongelman ja sen hyödynnettävissä olevat puolet. Magnet Goblinia tutkineet tietoturva-analyytikot huomauttavat, että nämä toimijat ryhtyvät nopeasti hyödyntämään äskettäin paljastettuja haavoittuvuuksia, joskus jopa päivän sisällä Proof of Concept (PoC) -hyödynnyksen julkaisusta.
Hakkerit kohdistuvat useisiin laitteisiin ja palveluihin, mukaan lukien Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) ja Magento (CVE-2022-24086).
Magnet Goblin hyödyntää näitä haavoittuvuuksia soluttautuakseen palvelimille räätälöityjä haittaohjelmia, kuten NerbianRAT ja MiniNerbian, sekä mukautettua versiota WARPWIRE JavaScript stealer -ohjelmasta.
NerbianRAT voi suorittaa lukuisia uhkaavia toimintoja
Vuodesta 2022 lähtien tutkijat ovat olleet tietoisia NerbianRAT for Windowsista. Nyt he kuitenkin paljastavat, että Magnet Goblinin käyttämä karkeasti käännetty mutta tehokas Linux-versio on ollut liikkeellä toukokuusta 2022 lähtien.
Alustusvaiheessa haittaohjelma suorittaa alustavia toimia, kuten kerää järjestelmätietoja, kuten ajan, käyttäjänimen ja koneen nimen, luo bot-tunnuksen, asettaa kovakoodatun IP-osoitteen ensisijaiseksi ja toissijaiseksi isännäksi, muodostaa työhakemiston ja lataa julkisen RSA-avaimen. verkkoviestinnän salaamiseen.
Tämän jälkeen NerbianRAT lataa kokoonpanonsa, joka sanelee toimintaajat (työaika), aikavälit kommunikaatiolle komento- ja ohjauspalvelimen (C2) kanssa ja muut parametrit.
C2 voi antaa yhden useista komennoista haittaohjelmalle suoritettavaksi tartunnan saaneessa järjestelmässä:
- Pyydä lisätoimia
- Suorita Linux-komento uudessa säikeessä
Toistuvalla korjauksella on tärkeä rooli 1 päivän hyväksikäytön estämisessä. Lisäksi lisätoimenpiteiden, kuten verkon segmentoinnin, päätepisteiden suojauksen ja monivaiheisen todennuksen, käyttöönotto voi vähentää mahdollisten tietomurtojen vaikutuksia.
Täydentävä haittaohjelma putosi NerbianRAT:n rinnalle
MiniNerbian on virtaviivaistettu versio NerbianRATista, jota käytetään pääasiassa komentojen suorittamiseen. Sen toiminnallisuus sisältää komentojen suorittamisen C2:sta ja tulosten lähettämisen, toiminta-aikataulujen päivittämisen (koko päivät tai tietyt tunnit) ja asetusten säätämisen. Toisin kuin monimutkaisempi NerbianRAT, MiniNerbian kommunikoi C2:n kanssa HTTP:n kautta raaka-TCP-vastakkeiden sijaan, mikä mahdollisesti osoittaa, että se toimii vaihtoehtona redundanssille tai peiteltynä takaovena tietyissä Magnet Goblinin skenaarioissa.