Perisian Hasad Linux NerbianRAT
Kumpulan yang dikenali sebagai Magnet Goblin, yang merupakan pelakon ancaman yang bermotifkan kewangan, menggunakan pelbagai kerentanan 1 hari untuk menyusup ke pelayan yang boleh diakses oleh orang ramai. Mereka pakar dalam menyasarkan kedua-dua sistem Windows dan Linux, menggunakan perisian hasad tersuai sekali di dalam sistem yang disasarkan. Kerentanan ini biasanya adalah kecacatan 1 hari dan merupakan kelemahan yang telah didedahkan secara terbuka dengan tampung yang sudah tersedia. Untuk mengeksploitasi kelemahan ini dengan berkesan, pelaku ancaman mesti bertindak pantas sebelum sasaran berpotensi boleh melaksanakan kemas kini keselamatan yang dikeluarkan.
Isi kandungan
Bunian Magnet Mengeksploitasi Sebilangan Besar Kerentanan untuk Menggugurkan Varian NerbianRAT Tersuai
Lazimnya, eksploitasi tidak mudah diakses serta-merta selepas pendedahan kecacatan. Walau bagaimanapun, kelemahan tertentu agak mudah untuk dieksploitasi, dan kejuruteraan balik patch boleh mendedahkan isu asas dan aspek yang boleh dieksploitasi. Penganalisis keselamatan maklumat yang telah menyelidik Magnet Goblin ambil perhatian bahawa pelakon ini bergerak pantas untuk mengeksploitasi kelemahan yang baru didedahkan, kadangkala dalam masa sehari eksploitasi Bukti Konsep (PoC) dikeluarkan.
Penggodam menyasarkan pelbagai peranti dan perkhidmatan, termasuk Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) dan Magento (CVE-2022-24086).
Magnet Goblin menggunakan kelemahan ini untuk menyusup ke pelayan dengan perisian hasad yang disesuaikan, seperti NerbianRAT dan MiniNerbian, bersama-sama dengan versi tersuai pencuri JavaScript WARPWIRE.
NerbianRAT boleh Menjalankan Pelbagai Fungsi Mengancam
Sejak 2022, penyelidik telah mengetahui tentang NerbianRAT untuk Windows. Walau bagaimanapun, mereka kini mendedahkan bahawa varian Linux yang disusun secara kasar namun berkesan yang digunakan oleh Magnet Goblin telah beredar sejak Mei 2022.
Selepas permulaan, perisian hasad melakukan tindakan awal, seperti mengumpul maklumat sistem seperti masa, nama pengguna dan nama mesin, menjana ID bot, menetapkan alamat IP berkod keras sebagai hos utama dan kedua, mewujudkan direktori kerja dan memuatkan kunci RSA awam untuk menyulitkan komunikasi rangkaian.
Berikutan ini, NerbianRAT memuatkan konfigurasinya, yang menentukan masa aktiviti (waktu kerja), selang untuk komunikasi dengan pelayan arahan dan kawalan (C2), dan parameter lain.
C2 mungkin mengeluarkan salah satu daripada beberapa arahan kepada perisian hasad untuk dilaksanakan pada sistem yang dijangkiti:
- Minta tindakan tambahan
- Jalankan arahan Linux dalam urutan baharu
Tampalan yang kerap memainkan peranan penting dalam mencegah eksploitasi 1 hari. Selain itu, melaksanakan langkah tambahan seperti pembahagian rangkaian, perlindungan titik akhir dan pengesahan berbilang faktor boleh mengurangkan kesan kemungkinan pelanggaran.
Perisian Hasad Tambahan Digugurkan Bersama NerbianRAT
MiniNerbian ialah versi NerbianRAT yang diperkemas, kebanyakannya digunakan untuk pelaksanaan perintah. Fungsinya merangkumi melaksanakan perintah daripada C2 dan menghantar hasil, mengemas kini jadual aktiviti (untuk hari penuh atau waktu tertentu) dan melaraskan konfigurasi. Tidak seperti NerbianRAT yang lebih rumit, MiniNerbian berkomunikasi dengan C2 melalui HTTP dan bukannya soket TCP mentah, yang berpotensi menunjukkan bahawa ia berfungsi sebagai pilihan untuk redundansi atau sebagai pintu belakang terselindung dalam senario tertentu oleh Magnet Goblin.