Malware NerbianRAT Linux
Un gruppo noto come Magnet Goblin, che è un attore di minacce motivato finanziariamente, utilizza varie vulnerabilità di un giorno per infiltrarsi nei server accessibili al pubblico. Sono specializzati nel prendere di mira sia i sistemi Windows che Linux, distribuendo malware personalizzato una volta all'interno del sistema preso di mira. Queste vulnerabilità sono solitamente difetti di 1 giorno e sono punti deboli che sono stati divulgati pubblicamente con le patch già disponibili. Per sfruttare efficacemente queste falle, gli autori delle minacce devono agire rapidamente prima che i potenziali obiettivi possano implementare gli aggiornamenti di sicurezza rilasciati.
Sommario
The Magnet Goblin sfrutta un gran numero di vulnerabilità per rilasciare una variante NerbianRAT personalizzata
In genere, gli exploit non sono facilmente accessibili immediatamente dopo la scoperta di un difetto. Tuttavia, alcune vulnerabilità sono relativamente facili da sfruttare e il reverse engineering della patch può svelare il problema sottostante e i suoi aspetti sfruttabili. Gli analisti della sicurezza informatica che hanno studiato il Magnet Goblin notano che questi attori si muovono rapidamente per sfruttare le vulnerabilità appena divulgate, a volte entro un giorno dal rilascio di un exploit Proof of Concept (PoC).
Gli hacker prendono di mira una serie di dispositivi e servizi, tra cui Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) e Magento (CVE-2022-24086).
The Magnet Goblin utilizza queste vulnerabilità per infiltrarsi nei server con malware su misura, come NerbianRAT e MiniNerbian, insieme a una versione personalizzata del ladro JavaScript WARPWIRE.
Il NerbianRAT può svolgere numerose funzioni minacciose
Dal 2022, i ricercatori sono a conoscenza di NerbianRAT per Windows. Tuttavia, ora rivelano che una variante Linux rozzamente compilata ma efficace utilizzata da Magnet Goblin circola da maggio 2022.
Dopo l'inizializzazione, il malware intraprende le azioni iniziali, come la raccolta di informazioni di sistema come ora, nome utente e nome della macchina, la generazione di un ID bot, l'impostazione di un indirizzo IP hardcoded come host primario e secondario, la definizione della directory di lavoro e il caricamento di una chiave RSA pubblica. per crittografare la comunicazione di rete.
Successivamente, NerbianRAT carica la sua configurazione, che determina i tempi di attività (orario di lavoro), gli intervalli per la comunicazione con il server di comando e controllo (C2) e altri parametri.
Il C2 può inviare uno dei numerosi comandi al malware affinché venga eseguito sul sistema infetto:
- Richiedi azioni aggiuntive
- Esegui un comando Linux in un nuovo thread
L'applicazione frequente di patch svolge un ruolo fondamentale nella prevenzione degli exploit di un giorno. Inoltre, l’implementazione di misure aggiuntive come la segmentazione della rete, la protezione degli endpoint e l’autenticazione a più fattori può ridurre l’impatto di potenziali violazioni.
Il malware supplementare è stato rilasciato insieme a NerbianRAT
MiniNerbian è una versione semplificata di NerbianRAT, utilizzata prevalentemente per l'esecuzione dei comandi. La sua funzionalità comprende l'esecuzione di comandi dal C2 e la trasmissione dei risultati, l'aggiornamento dei programmi delle attività (per giorni interi o orari specifici) e la regolazione delle configurazioni. A differenza del più intricato NerbianRAT, MiniNerbian comunica con C2 tramite HTTP anziché tramite socket TCP grezzi, indicando potenzialmente che funge da scelta per la ridondanza o come backdoor nascosta in scenari specifici da Magnet Goblin.