Multi-License Discount Quote
Uncategorized NerbianRAT Linux zlonamjerni softver

NerbianRAT Linux zlonamjerni softver

Do Mezo. Uncategorized. godine
Prevedi na:
Hrvatski

Grupa poznata kao Magnet Goblin, koja je financijski motivirana prijetnja, koristi različite jednodnevne ranjivosti kako bi se infiltrirala u poslužitelje dostupne javnosti. Specijalizirani su za ciljanje Windows i Linux sustava, implementirajući prilagođeni zlonamjerni softver jednom unutar ciljanog sustava. Ove su ranjivosti obično jednodnevni nedostaci i slabosti su javno objavljene uz već dostupne zakrpe. Kako bi učinkovito iskoristili te nedostatke, akteri prijetnji moraju djelovati brzo prije nego što potencijalne mete mogu implementirati objavljena sigurnosna ažuriranja.

Magnet Goblin iskorištava veliki broj ranjivosti kako bi izbacio prilagođenu NerbianRAT varijantu

Tipično, eksploatacije nisu lako dostupne odmah nakon otkrivanja greške. Međutim, određene ranjivosti je relativno lako iskoristiti, a obrnuti inženjering zakrpe može otkriti temeljni problem i njegove aspekte koji se mogu iskoristiti. Analitičari informacijske sigurnosti koji su istraživali Magnet Goblin primjećuju da ovi akteri brzo iskorištavaju novootkrivene ranjivosti, ponekad u roku od jednog dana od objavljivanja iskorištavanja Proof of Concept (PoC).

Hakeri ciljaju niz uređaja i usluga, uključujući Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) i Magento (CVE-2022-24086).

Magnet Goblin koristi ove ranjivosti za infiltraciju u poslužitelje sa prilagođenim zlonamjernim softverom, kao što su NerbianRAT i MiniNerbian, zajedno s prilagođenom verzijom WARPWIRE JavaScript stealera.

NerbianRAT može obavljati brojne prijeteće funkcije

Od 2022. istraživači su svjesni NerbianRAT-a za Windows. Međutim, sada otkrivaju da grubo kompilirana, ali učinkovita varijanta Linuxa koju koristi Magnet Goblin kruži od svibnja 2022.

Nakon inicijalizacije, zlonamjerni softver poduzima početne radnje, kao što je prikupljanje informacija o sustavu kao što su vrijeme, korisničko ime i naziv stroja, generiranje ID-a bota, postavljanje tvrdo kodirane IP adrese kao primarnog i sekundarnog hosta, uspostavljanje radnog direktorija i učitavanje javnog RSA ključa za šifriranje mrežne komunikacije.

Nakon toga, NerbianRAT učitava svoju konfiguraciju, koja diktira vrijeme aktivnosti (vrijeme rada), intervale za komunikaciju s poslužiteljem za naredbu i kontrolu (C2) i druge parametre.

C2 može izdati jednu od nekoliko naredbi zlonamjernom softveru za izvršenje na zaraženom sustavu:

  • Zatražite dodatne radnje
  • Izvršite Linux naredbu u novoj niti
  • Slanje rezultata naredbe i brisanje datoteke; zaustaviti sve tekuće naredbe
  • Odmah izvrši Linux naredbu
  • Ne poduzimajte ništa
  • Izmijenite interval povezivanja
  • Podesite i spremite postavke radnog vremena
  • Omogućite vrijeme mirovanja, konfiguraciju ili rezultate naredbi
  • Ažurirajte određenu konfiguracijsku varijablu
  • Osvježite međuspremnik naredbi za C2 naredbe izvršenja

    • Česti zakrpi igraju ključnu ulogu u sprječavanju jednodnevnih eksploatacija. Štoviše, provedba dodatnih mjera kao što su segmentacija mreže, zaštita krajnjih točaka i autentifikacija s više faktora može smanjiti utjecaj potencijalnih provala.

    Dodatni zlonamjerni softver odbačen je uz NerbianRAT

    MiniNerbian je poboljšana verzija NerbianRAT-a, koja se pretežno koristi za izvršavanje naredbi. Njegova funkcionalnost obuhvaća izvršavanje naredbi iz C2 i prijenos rezultata, ažuriranje rasporeda aktivnosti (za cijele dane ili određene sate) i podešavanje konfiguracija. Za razliku od složenijeg NerbianRAT-a, MiniNerbian komunicira s C2 putem HTTP-a umjesto neobrađenih TCP utičnica, što potencijalno ukazuje da služi kao izbor za redundantnost ili kao skrivena stražnja vrata u određenim scenarijima Magnet Goblina.

    Učitavam...