NerbianRAT 리눅스 악성코드

재정적 동기를 지닌 위협 행위자인 Magnet Goblin으로 알려진 그룹은 대중이 접근할 수 있는 서버에 침투하기 위해 다양한 1일 취약점을 이용합니다. 그들은 Windows와 Linux 시스템을 모두 표적으로 삼아 표적 시스템 내부에 맞춤형 악성 코드를 배포하는 데 특화되어 있습니다. 이러한 취약점은 일반적으로 1일 결함이며 이미 사용 가능한 패치를 통해 공개된 취약점입니다. 이러한 결함을 효과적으로 악용하려면 위협 행위자는 잠재적인 표적이 출시된 보안 업데이트를 구현하기 전에 신속하게 조치를 취해야 합니다.

Magnet Goblin은 수많은 취약점을 악용하여 맞춤형 NerbianRAT 변종을 삭제합니다.

일반적으로 악용은 결함이 공개된 즉시 즉시 액세스할 수 없습니다. 그러나 특정 취약점은 상대적으로 악용하기 쉬우며 패치를 리버스 엔지니어링하면 근본적인 문제와 악용 가능한 측면을 밝힐 수 있습니다. Magnet Goblin을 연구해 온 정보 보안 분석가들은 이러한 공격자들이 새로 공개된 취약점을 악용하기 위해 신속하게 움직이며 때로는 PoC(Proof of Concept) 익스플로잇이 공개된 후 하루 이내에 움직인다고 지적합니다.

해커는 Ivanti Connect Secure(CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense(CVE)를 포함한 다양한 장치 및 서비스를 표적으로 삼았습니다. -2023-41265, CVE-2023-41266, CVE-2023-48365) 및 Magento(CVE-2022-24086).

Magnet Goblin은 이러한 취약점을 활용하여 WARPWIRE JavaScript 스틸러의 맞춤형 버전과 함께 NerbianRAT 및 MiniNerbian과 같은 맞춤형 악성 코드로 서버에 침투합니다.

NerbianRAT는 수많은 위협 기능을 수행할 수 있습니다.

연구원들은 2022년부터 Windows용 NerbianRAT를 알고 있었습니다. 그러나 그들은 이제 Magnet Goblin이 활용하는 조잡하게 컴파일되었지만 효과적인 Linux 변종이 2022년 5월부터 유통되고 있음을 밝혔습니다.

초기화 시 악성코드는 시간, 사용자 이름, 컴퓨터 이름과 같은 시스템 정보 수집, 봇 ID 생성, 하드코딩된 IP 주소를 기본 및 보조 호스트로 설정, 작업 디렉터리 설정, 공개 RSA 키 로드 등의 초기 작업을 수행합니다. 네트워크 통신을 암호화하기 위한 것입니다.

그런 다음 NerbianRAT는 활동 시간(작업 시간), 명령 및 제어(C2) 서버와의 통신 간격 및 기타 매개변수를 지정하는 구성을 로드합니다.

C2는 감염된 시스템에서 실행하기 위해 악성코드에 여러 명령 중 하나를 실행할 수 있습니다.

• 추가 조치 요청
• 새 스레드에서 Linux 명령 실행

빈번한 패치 적용은 1일 공격을 방지하는 데 중요한 역할을 합니다. 또한 네트워크 세분화, 엔드포인트 보호, 다단계 인증과 같은 추가 조치를 구현하면 잠재적인 침해의 영향을 줄일 수 있습니다.

NerbianRAT와 함께 추가 악성 코드가 삭제되었습니다.

MiniNerbian은 NerbianRAT의 간소화된 버전으로 주로 명령 실행에 사용됩니다. 그 기능에는 C2의 명령 실행, 결과 전송, 활동 일정 업데이트(하루 또는 특정 시간 동안) 및 구성 조정이 포함됩니다. 더 복잡한 NerbianRAT와 달리 MiniNerbian은 원시 TCP 소켓 대신 HTTP를 통해 C2와 통신하므로 잠재적으로 Magnet Goblin의 특정 시나리오에서 중복성을 위한 선택 또는 은밀한 백도어 역할을 한다는 것을 나타냅니다.