NerbianRAT Linux kártevő
A Magnet Goblin néven ismert csoport, amely pénzügyileg motivált fenyegetettség, különféle 1 napos sebezhetőségeket alkalmaz, hogy behatoljon a nyilvánosság számára elérhető szerverekre. Mind a Windows, mind a Linux rendszerek megcélzására specializálódtak, és testreszabott rosszindulatú programokat telepítenek a megcélzott rendszeren belül. Ezek a sérülékenységek általában 1 napos hibák, és olyan gyengeségek, amelyeket nyilvánosan nyilvánosságra hoztak a már elérhető javításokkal. E hibák hatékony kihasználása érdekében a fenyegetés szereplőinek gyorsan kell cselekedniük, mielőtt a potenciális célpontok végrehajthatnák a kiadott biztonsági frissítéseket.
Tartalomjegyzék
A Magnet Goblin nagyszámú sebezhetőséget kihasznál, hogy eldobjon egy egyedi NerbianRAT-változatot
A kihasználások általában nem érhetők el azonnal a hiba feltárását követően. Bizonyos sérülékenységek azonban viszonylag könnyen kihasználhatók, és a javítás visszafejtése feltárhatja a mögöttes problémát és annak kihasználható aspektusait. A Magnet Goblint kutató információbiztonsági elemzők megjegyzik, hogy ezek a szereplők gyorsan hozzálátnak az újonnan feltárt sebezhetőségek kiaknázásához, néha már egy napon belül a Proof of Concept (PoC) kihasználása után.
A hackerek egy sor eszközt és szolgáltatást céloznak meg, köztük az Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE) -2023-41265, CVE-2023-41266, CVE-2023-48365) és Magento (CVE-2022-24086).
A Magnet Goblin ezeket a sebezhetőségeket arra használja fel, hogy testre szabott rosszindulatú programokat, például NerbianRAT-t és MiniNerbiant, valamint a WARPWIRE JavaScript-lopó testreszabott változatát behatolja a szerverekre.
A NerbianRAT számos fenyegető funkciót tud végrehajtani
A kutatók 2022 óta ismerik a NerbianRAT for Windows alkalmazást. Most azonban kiderül, hogy a Magnet Goblin által használt durván összeállított, de hatékony Linux-változat 2022 májusa óta kering.
Inicializáláskor a rosszindulatú program elvégzi a kezdeti műveleteket, például összegyűjti a rendszerinformációkat, például az időt, a felhasználónevet és a gép nevét, létrehoz egy botazonosítót, beállít egy merev kódolt IP-címet elsődleges és másodlagos gazdagépként, létrehozza a munkakönyvtárat, és betölt egy nyilvános RSA-kulcsot. hálózati kommunikáció titkosítására.
Ezt követően a NerbianRAT betölti a konfigurációját, amely meghatározza a tevékenységi időket (munkaidőt), a parancs- és vezérlőkiszolgálóval (C2) való kommunikáció intervallumait és egyéb paramétereket.
A C2 kiadhat egy parancsot a rosszindulatú programnak a fertőzött rendszeren való végrehajtáshoz:
- Kérjen további műveleteket
- Hajtsa végre a Linux parancsot egy új szálban
A gyakori foltozás létfontosságú szerepet játszik az 1 napos visszaélések megelőzésében. Ezenkívül további intézkedések, például a hálózati szegmentálás, a végpontvédelem és a többtényezős hitelesítés bevezetése csökkentheti az esetleges jogsértések hatását.
A kiegészítő rosszindulatú program lekerült a NerbianRAT mellett
A MiniNerbian a NerbianRAT egy egyszerűsített változata, amelyet túlnyomórészt parancsvégrehajtásra használnak. Funkcionalitása magában foglalja a C2-ből érkező parancsok végrehajtását és az eredmények továbbítását, a tevékenységi ütemezések frissítését (teljes napokra vagy meghatározott órákra), valamint a konfigurációk módosítását. A bonyolultabb NerbianRAT-től eltérően a MiniNerbian a nyers TCP socketek helyett HTTP-n keresztül kommunikál a C2-vel, ami potenciálisan azt jelzi, hogy a Magnet Goblin bizonyos forgatókönyveiben redundanciaként vagy rejtett hátsó ajtóként szolgál.