„NerbianRAT Linux“ kenkėjiška programa
Grupė, žinoma kaip Magnet Goblin, kuri yra finansiškai motyvuota grėsmės veikėja, naudoja įvairius 1 dienos pažeidžiamumus, kad įsiskverbtų į visuomenei prieinamus serverius. Jie specializuojasi taikydami tiek „Windows“, tiek „Linux“ sistemas, pritaikydami pritaikytas kenkėjiškas programas tikslinėje sistemoje. Šie pažeidžiamumai paprastai yra 1 dienos trūkumai ir yra trūkumai, kurie buvo viešai atskleisti su jau turimais pataisomis. Kad galėtų efektyviai išnaudoti šiuos trūkumus, grėsmės veikėjai turi veikti greitai, kad potencialūs taikiniai galėtų įdiegti išleistus saugos naujinimus.
Turinys
Magnetinis goblinas išnaudoja daugybę pažeidžiamumų, kad atsisakytų pasirinktinio NerbianRAT varianto
Paprastai išnaudojimai nėra lengvai pasiekiami iš karto, kai atskleidžiamas trūkumas. Tačiau tam tikrus pažeidžiamumus gana lengva išnaudoti, o pataisos apgręžimas gali atskleisti pagrindinę problemą ir jos išnaudojamus aspektus. Informacijos saugumo analitikai, tyrinėję Magnet Goblin, pastebi, kad šie veikėjai greitai išnaudoja naujai atskleistas spragas, kartais per vieną dieną nuo koncepcijos įrodymo (PoC) išnaudojimo.
Įsilaužėliai taikosi į įvairius įrenginius ir paslaugas, įskaitant Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) ir Magento (CVE-2022-24086).
„Magnet Goblin“ naudoja šias spragas, kad į serverius įsiskverbtų pritaikytos kenkėjiškos programos, tokios kaip „NerbianRAT “ ir „MiniNerbian“, kartu su pritaikyta „WARPWIRE JavaScript“ vagies versija.
NerbianRAT gali atlikti daugybę grėsmingų funkcijų
Nuo 2022 m. mokslininkai žinojo apie „NerbianRAT“, skirtą „Windows“. Tačiau dabar jie atskleidžia, kad grubiai sukompiliuotas, bet efektyvus „Linux“ variantas, naudojamas Magnet Goblin, cirkuliuoja nuo 2022 m. gegužės mėn.
Inicijuojant, kenkėjiška programa atlieka pradinius veiksmus, pvz., renka sistemos informaciją, pvz., laiką, vartotojo vardą ir mašinos pavadinimą, generuoja roboto ID, nustato kietojo kodo IP adresą kaip pirminį ir antrinį pagrindinį kompiuterį, sukuria darbo katalogą ir įkelia viešąjį RSA raktą. tinklo ryšiui šifruoti.
Po to NerbianRAT įkelia savo konfigūraciją, kuri diktuoja veiklos laiką (darbo laiką), ryšio su komandų ir valdymo (C2) serveriu intervalus ir kitus parametrus.
C2 gali duoti vieną iš kelių komandų kenkėjiškajai programai, kad ji būtų vykdoma užkrėstoje sistemoje:
- Prašyti papildomų veiksmų
- Vykdykite Linux komandą naujoje gijoje
Dažnas pataisymas atlieka gyvybiškai svarbų vaidmenį užkertant kelią 1 dienos išnaudojimui. Be to, įdiegus papildomas priemones, pvz., tinklo segmentavimą, galinių taškų apsaugą ir kelių veiksnių autentifikavimą, galima sumažinti galimų pažeidimų poveikį.
Papildoma kenkėjiška programa buvo pašalinta kartu su NerbianRAT
MiniNerbian yra supaprastinta NerbianRAT versija, daugiausia naudojama komandoms vykdyti. Jo funkcionalumas apima komandų iš C2 vykdymą ir rezultatų perdavimą, veiklos grafikų atnaujinimą (visoms dienoms ar konkrečioms valandoms) ir konfigūracijų koregavimą. Skirtingai nuo sudėtingesnio „NerbianRAT“, „MiniNerbian“ bendrauja su C2 per HTTP, o ne neapdorotus TCP lizdus, o tai gali rodyti, kad jis gali būti naudojamas kaip atleidimo iš darbo pasirinkimas arba kaip slaptos užpakalinės durys tam tikruose Magnet Goblin scenarijuose.