NerbianRAT लिनक्स मैलवेयर

मैग्नेट गोब्लिन के नाम से जाना जाने वाला एक समूह, जो वित्तीय रूप से प्रेरित खतरा अभिनेता है, जनता के लिए सुलभ सर्वर में घुसपैठ करने के लिए विभिन्न 1-दिवसीय कमजोरियों को नियोजित करता है। वे विंडोज़ और लिनक्स दोनों प्रणालियों को लक्षित करने में माहिर हैं, लक्षित सिस्टम के अंदर एक बार अनुकूलित मैलवेयर तैनात करते हैं। ये कमजोरियाँ आम तौर पर 1-दिन की खामियाँ होती हैं और ऐसी कमजोरियाँ होती हैं जिन्हें पहले से ही उपलब्ध पैच के साथ सार्वजनिक रूप से प्रकट किया गया है। इन खामियों का प्रभावी ढंग से फायदा उठाने के लिए, संभावित लक्ष्यों द्वारा जारी सुरक्षा अद्यतनों को लागू करने से पहले खतरे वाले अभिनेताओं को तेजी से कार्रवाई करनी चाहिए।

मैग्नेट गोब्लिन एक कस्टम NerbianRAT वेरिएंट को गिराने के लिए बड़ी संख्या में कमजोरियों का फायदा उठाता है

आमतौर पर, किसी दोष के प्रकटीकरण के तुरंत बाद कारनामे आसानी से उपलब्ध नहीं होते हैं। हालाँकि, कुछ कमजोरियों का फायदा उठाना अपेक्षाकृत आसान है, और रिवर्स-इंजीनियरिंग पैच अंतर्निहित समस्या और इसके शोषण योग्य पहलुओं का खुलासा कर सकता है। मैग्नेट गोब्लिन पर शोध कर रहे सूचना सुरक्षा विश्लेषकों का कहना है कि ये अभिनेता नई प्रकट कमजोरियों का फायदा उठाने के लिए तेजी से आगे बढ़ते हैं, कभी-कभी प्रूफ ऑफ कॉन्सेप्ट (पीओसी) शोषण जारी होने के एक दिन के भीतर।

हैकर्स कई प्रकार के उपकरणों और सेवाओं को निशाना बनाते हैं, जिनमें इवंती कनेक्ट सिक्योर (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE) शामिल हैं। -2023-41265, सीवीई-2023-41266, सीवीई-2023-48365) और मैगेंटो (सीवीई-2022-24086)।

मैग्नेट गोब्लिन इन कमजोरियों का उपयोग WARPWIRE जावास्क्रिप्ट चोरी करने वाले के एक अनुकूलित संस्करण के साथ-साथ NerbianRAT और MiniNerbian जैसे अनुरूप मैलवेयर के साथ सर्वर में घुसपैठ करने के लिए करता है।

NerbianRAT कई खतरनाक कार्य कर सकता है

2022 से, शोधकर्ता विंडोज़ के लिए NerbianRAT के बारे में जानते हैं। हालाँकि, अब वे बताते हैं कि मैग्नेट गोब्लिन द्वारा उपयोग किया जाने वाला एक अत्यंत संकलित लेकिन प्रभावी लिनक्स संस्करण मई 2022 से प्रसारित हो रहा है।

प्रारंभ होने पर, मैलवेयर प्रारंभिक क्रियाएं करता है, जैसे समय, उपयोगकर्ता नाम और मशीन का नाम जैसी सिस्टम जानकारी एकत्र करना, एक बॉट आईडी बनाना, प्राथमिक और माध्यमिक होस्ट के रूप में एक हार्डकोडेड आईपी पता सेट करना, कार्यशील निर्देशिका स्थापित करना और एक सार्वजनिक आरएसए कुंजी लोड करना नेटवर्क संचार को एन्क्रिप्ट करने के लिए।

इसके बाद, NerbianRAT अपने कॉन्फ़िगरेशन को लोड करता है, जो गतिविधि समय (कार्य समय), कमांड और नियंत्रण (C2) सर्वर के साथ संचार के लिए अंतराल और अन्य मापदंडों को निर्धारित करता है।

C2 संक्रमित सिस्टम पर निष्पादन के लिए मैलवेयर को कई आदेशों में से एक जारी कर सकता है:

• अतिरिक्त कार्रवाई का अनुरोध करें
• एक नए थ्रेड में लिनक्स कमांड निष्पादित करें

बार-बार पैचिंग एक दिन के शोषण को रोकने में महत्वपूर्ण भूमिका निभाती है। इसके अलावा, नेटवर्क विभाजन, एंडपॉइंट सुरक्षा और बहु-कारक प्रमाणीकरण जैसे अतिरिक्त उपायों को लागू करने से संभावित उल्लंघनों के प्रभाव को कम किया जा सकता है।

पूरक मैलवेयर NerbianRAT के साथ गिरा

MiniNerbian NerbianRAT का एक सुव्यवस्थित संस्करण है, जो मुख्य रूप से कमांड निष्पादन के लिए नियोजित है। इसकी कार्यक्षमता में C2 से कमांड निष्पादित करना और परिणाम प्रसारित करना, गतिविधि शेड्यूल अपडेट करना (पूरे दिन या विशिष्ट घंटों के लिए), और कॉन्फ़िगरेशन समायोजित करना शामिल है। अधिक जटिल NerbianRAT के विपरीत, MiniNerbian कच्चे TCP सॉकेट के बजाय HTTP के माध्यम से C2 के साथ संचार करता है, संभावित रूप से यह दर्शाता है कि यह अतिरेक के लिए एक विकल्प के रूप में या मैग्नेट गोब्लिन द्वारा विशिष्ट परिदृश्यों में एक गुप्त पिछले दरवाजे के रूप में कार्य करता है।