תוכנה זדונית של NerbianRAT Linux

קבוצה הידועה בשם Magnet Goblin, שהיא שחקן איום בעל מוטיבציה כלכלית, מפעילה נקודות תורפה שונות של יום אחד כדי לחדור לשרתים נגישים לציבור. הם מתמחים במיקוד הן למערכות Windows והן למערכות לינוקס, תוך פריסת תוכנות זדוניות מותאמות אישית פעם אחת בתוך המערכת הממוקדת. פגיעויות אלו הן בדרך כלל פגמים של יום אחד והן חולשות שנחשפו בפומבי עם תיקונים שכבר זמינים. כדי לנצל ביעילות את הפגמים הללו, גורמי איומים חייבים לפעול במהירות לפני שמטרות פוטנציאליות יוכלו ליישם את עדכוני האבטחה שפורסמו.

ה-Magnet Goblin מנצל מספר רב של פגיעויות כדי להוריד וריאנט NerbianRAT מותאם אישית

בדרך כלל, ניצולים אינם נגישים מיד לאחר חשיפה של פגם. עם זאת, קל יחסית לנצל פגיעויות מסוימות, והנדסה לאחור של התיקון יכולה לחשוף את הבעיה הבסיסית ואת ההיבטים הניתנים לניצול שלה. אנליסטים של אבטחת מידע שחקרו את Magnet Goblin מציינים כי שחקנים אלה נעים במהירות כדי לנצל את הפגיעויות החדשות שנחשפו, לפעמים תוך יום ממועד פרסום ניצול הוכחת קונספט (PoC).

ההאקרים מכוונים למגוון של מכשירים ושירותים, כולל Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) ומג'נטו (CVE-2022-24086).

ה-Magnet Goblin מנצל את הפגיעויות הללו כדי לחדור לשרתים עם תוכנות זדוניות מותאמות, כגון NerbianRAT ו-MiniNerbian, יחד עם גרסה מותאמת אישית של גנבת JavaScript של WARPWIRE.

ה-NerbianRAT יכול לבצע מספר רב של פונקציות מאיימות

מאז 2022, חוקרים מודעים ל-NerbianRAT עבור Windows. עם זאת, כעת הם חושפים כי גרסת לינוקס שהורכבה בצורה גסה אך יעילה בשימוש על ידי Magnet Goblin מסתובבת מאז מאי 2022.

עם האתחול, התוכנה הזדונית מבצעת פעולות ראשוניות, כגון איסוף מידע מערכת כמו זמן, שם משתמש ושם מכונה, יצירת מזהה בוט, הגדרת כתובת IP מקודדת כמארחים ראשיים ומשניים, הקמת ספריית העבודה וטעינת מפתח RSA ציבורי. להצפנת תקשורת רשת.

בעקבות זאת, NerbianRAT טוען את התצורה שלו, שמכתיבה זמני פעילות (זמן עבודה), מרווחים לתקשורת עם שרת הפיקוד והבקרה (C2) ופרמטרים נוספים.

ה-C2 עשוי להנפיק אחת מכמה פקודות לתוכנה הזדונית לביצוע במערכת הנגועה:

• בקש פעולות נוספות
• בצע פקודת לינוקס בשרשור חדש

תיקון תכוף ממלא תפקיד חיוני במניעת ניצול של יום אחד. יתרה מכך, יישום אמצעים נוספים כמו פילוח רשת, הגנה על נקודות קצה ואימות רב-גורמי יכול להפחית את ההשפעה של הפרות אפשריות.

התוכנה הזדונית המשלימה ירדה לצד NerbianRAT

MiniNerbian היא גרסה יעילה של NerbianRAT, המשמשת בעיקר לביצוע פקודות. הפונקציונליות שלו כוללת ביצוע פקודות מה-C2 והעברת תוצאות, עדכון לוחות זמנים של פעילות (לימים מלאים או שעות ספציפיות), והתאמת תצורות. בניגוד ל-NerbianRAT המורכב יותר, MiniNerbian מתקשרת עם ה-C2 דרך HTTP במקום שקעי TCP גולמיים, מה שעשוי להצביע על כך שהוא משמש כבחירה לעודפות או כדלת אחורית סמויה בתרחישים ספציפיים על ידי Magnet Goblin.