មេរោគ NerbianRAT លីនុច

ក្រុមដែលគេស្គាល់ថា Magnet Goblin ដែលជាតួអង្គគំរាមកំហែងផ្នែកហិរញ្ញវត្ថុ ប្រើប្រាស់ភាពងាយរងគ្រោះផ្សេងៗក្នុងរយៈពេល 1 ថ្ងៃ ដើម្បីជ្រៀតចូលម៉ាស៊ីនមេដែលអាចចូលប្រើជាសាធារណៈបាន។ ពួកគេមានជំនាញក្នុងការកំណត់គោលដៅទាំងប្រព័ន្ធ Windows និង Linux ដោយដាក់ពង្រាយមេរោគដែលបានប្ដូរតាមបំណងម្តងនៅក្នុងប្រព័ន្ធគោលដៅ។ ភាពងាយរងគ្រោះទាំងនេះជាធម្មតាមានគុណវិបត្តិរយៈពេល 1 ថ្ងៃ ហើយជាចំណុចខ្សោយដែលត្រូវបានបង្ហាញជាសាធារណៈជាមួយនឹងបំណះដែលមានរួចហើយ។ ដើម្បីទាញយកគុណវិបត្តិទាំងនេះប្រកបដោយប្រសិទ្ធភាព តួអង្គគម្រាមកំហែងត្រូវតែធ្វើសកម្មភាពយ៉ាងឆាប់រហ័ស មុនពេលដែលគោលដៅសក្តានុពលអាចអនុវត្តបច្ចុប្បន្នភាពសុវត្ថិភាពដែលបានចេញផ្សាយ។

Magnet Goblin ទាញយកភាពងាយរងគ្រោះមួយចំនួនធំដើម្បីទម្លាក់វ៉ារ្យ៉ង់ NerbianRAT ផ្ទាល់ខ្លួន

ជាធម្មតា ការកេងប្រវ័ញ្ចគឺមិនអាចចូលដំណើរការបានភ្លាមៗនៅពេលបង្ហាញកំហុសនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ភាពងាយរងគ្រោះមួយចំនួនគឺមានភាពងាយស្រួលក្នុងការកេងប្រវ័ញ្ច ហើយការកែច្នៃបំណះបញ្ច្រាសអាចបង្ហាញពីបញ្ហាមូលដ្ឋាន និងទិដ្ឋភាពដែលអាចកេងប្រវ័ញ្ចរបស់វា។ អ្នកវិភាគសុវត្ថិភាពព័ត៌មានដែលបានស្រាវជ្រាវ Magnet Goblin កត់សម្គាល់ថា តួអង្គទាំងនេះផ្លាស់ទីយ៉ាងលឿនដើម្បីទាញយកភាពងាយរងគ្រោះដែលទើបនឹងបង្ហាញ ជួនកាលក្នុងរយៈពេលមួយថ្ងៃនៃការកេងប្រវ័ញ្ច Proof of Concept (PoC) ត្រូវបានចេញផ្សាយ។

ពួក Hacker កំណត់គោលដៅឧបករណ៍ និងសេវាកម្មជាច្រើនរួមមាន Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) និង Magento (CVE-2022-24086) ។

Magnet Goblin ប្រើប្រាស់ភាពងាយរងគ្រោះទាំងនេះ ដើម្បីជ្រៀតចូលម៉ាស៊ីនមេជាមួយនឹងមេរោគដែលតម្រូវតាមតម្រូវការ ដូចជា NerbianRAT និង MiniNerbian រួមជាមួយនឹងកំណែផ្ទាល់ខ្លួនរបស់អ្នកលួច WARPWIRE JavaScript ។

NerbianRAT អាចអនុវត្តមុខងារគំរាមកំហែងជាច្រើន។

ចាប់តាំងពីឆ្នាំ 2022 អ្នកស្រាវជ្រាវបានដឹងអំពី NerbianRAT សម្រាប់ Windows ។ ទោះជាយ៉ាងណាក៏ដោយ ឥឡូវនេះពួកគេបង្ហាញឱ្យឃើញថា កំណែលីនុចដែលចងក្រងយ៉ាងឃោរឃៅ ប៉ុន្តែមានប្រសិទ្ធភាពដែលប្រើប្រាស់ដោយ Magnet Goblin ត្រូវបានផ្សព្វផ្សាយតាំងពីខែឧសភា ឆ្នាំ 2022។

នៅពេលចាប់ផ្តើម មេរោគដំណើរការសកម្មភាពដំបូង ដូចជាការប្រមូលព័ត៌មានប្រព័ន្ធដូចជា ពេលវេលា ឈ្មោះអ្នកប្រើប្រាស់ និងឈ្មោះម៉ាស៊ីន បង្កើតលេខសម្គាល់រូបយន្ត កំណត់អាសយដ្ឋាន IP រឹងជាម៉ាស៊ីនមេ និងបន្ទាប់បន្សំ បង្កើតថតការងារ និងផ្ទុកសោ RSA សាធារណៈ។ សម្រាប់ការអ៊ិនគ្រីបទំនាក់ទំនងបណ្តាញ។

បន្ទាប់ពីនេះ NerbianRAT ផ្ទុកការកំណត់រចនាសម្ព័ន្ធរបស់វា ដែលកំណត់ពេលវេលាសកម្មភាព (ម៉ោងធ្វើការ) ចន្លោះពេលសម្រាប់ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) និងប៉ារ៉ាម៉ែត្រផ្សេងទៀត។

C2 អាចនឹងចេញពាក្យបញ្ជាមួយក្នុងចំនោមពាក្យបញ្ជាជាច្រើនទៅកាន់ malware សម្រាប់ប្រតិបត្តិលើប្រព័ន្ធមេរោគ៖

• ស្នើសុំសកម្មភាពបន្ថែម
• ប្រតិបត្តិពាក្យបញ្ជាលីនុចនៅក្នុងខ្សែស្រឡាយថ្មី។

ការបិទភ្ជាប់ញឹកញាប់ដើរតួនាទីយ៉ាងសំខាន់ក្នុងការទប់ស្កាត់ការកេងប្រវ័ញ្ចរយៈពេល 1 ថ្ងៃ។ ជាងនេះទៅទៀត ការអនុវត្តវិធានការបន្ថែមដូចជា ការបែងចែកបណ្តាញ ការការពារចំណុចបញ្ចប់ និងការផ្ទៀងផ្ទាត់ពហុកត្តាអាចកាត់បន្ថយផលប៉ះពាល់នៃការបំពានដែលអាចកើតមាន។

Malware បន្ថែមបានទម្លាក់នៅក្បែរ NerbianRAT

MiniNerbian គឺជាកំណែសម្រួលនៃ NerbianRAT ដែលត្រូវបានប្រើប្រាស់ជាចម្បងសម្រាប់ការប្រតិបត្តិពាក្យបញ្ជា។ មុខងាររបស់វារួមបញ្ចូលការប្រតិបត្តិពាក្យបញ្ជាពី C2 និងការបញ្ជូនលទ្ធផល ការធ្វើបច្ចុប្បន្នភាពកាលវិភាគសកម្មភាព (សម្រាប់ថ្ងៃពេញ ឬម៉ោងជាក់លាក់) និងការកែតម្រូវការកំណត់។ មិនដូច NerbianRAT ដែលស្មុគស្មាញជាងនេះទេ MiniNerbian ទាក់ទងជាមួយ C2 តាមរយៈ HTTP ជំនួសឱ្យរន្ធ TCP ឆៅ ដែលបង្ហាញថាវាបម្រើជាជម្រើសសម្រាប់ការប្រើប្រាស់ឡើងវិញ ឬជាការលាក់បាំងខាងក្រោយនៅក្នុងសេណារីយ៉ូជាក់លាក់ដោយ Magnet Goblin ។