NerbianRAT Linux skadelig programvare
En gruppe kjent som Magnet Goblin, som er en økonomisk motivert trusselaktør, bruker ulike 1-dags sårbarheter for å infiltrere servere som er tilgjengelige for publikum. De spesialiserer seg på å målrette både Windows- og Linux-systemer, og distribuerer tilpasset skadelig programvare en gang inne i det målrettede systemet. Disse sårbarhetene er vanligvis 1-dagers feil og er svakheter som har blitt offentliggjort med patcher som allerede er tilgjengelige. For å utnytte disse feilene effektivt, må trusselaktører handle raskt før potensielle mål kan implementere de utgitte sikkerhetsoppdateringene.
Innholdsfortegnelse
Magnet Goblin utnytter et stort antall sårbarheter for å slippe en tilpasset NerbianRAT-variant
Vanligvis er utnyttelser ikke lett tilgjengelig umiddelbart etter avsløring av en feil. Imidlertid er visse sårbarheter relativt enkle å utnytte, og omvendt utvikling av oppdateringen kan avsløre det underliggende problemet og dets utnyttbare aspekter. Informasjonssikkerhetsanalytikere som har forsket på Magnet Goblin, bemerker at disse aktørene beveger seg raskt for å utnytte nylig avslørte sårbarheter, noen ganger innen en dag etter at en Proof of Concept (PoC)-utnyttelse ble utgitt.
Hackerne retter seg mot en rekke enheter og tjenester, inkludert Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE) -2023-41265, CVE-2023-41266, CVE-2023-48365) og Magento (CVE-2022-24086).
Magnet Goblin bruker disse sårbarhetene til å infiltrere servere med skreddersydd skadelig programvare, som NerbianRAT og MiniNerbian, sammen med en tilpasset versjon av WARPWIRE JavaScript-tyveren.
NerbianRAT kan utføre en rekke truende funksjoner
Siden 2022 har forskere vært klar over NerbianRAT for Windows. Imidlertid avslører de nå at en grovt kompilert, men effektiv Linux-variant brukt av Magnet Goblin har sirkulert siden mai 2022.
Ved initialisering utfører skadevaren innledende handlinger, som å samle inn systeminformasjon som tid, brukernavn og maskinnavn, generere en bot-ID, sette en hardkodet IP-adresse som primære og sekundære verter, etablere arbeidskatalogen og laste inn en offentlig RSA-nøkkel for kryptering av nettverkskommunikasjon.
Etter dette laster NerbianRAT sin konfigurasjon, som dikterer aktivitetstider (arbeidstid), intervaller for kommunikasjon med kommando- og kontrollserveren (C2) og andre parametere.
C2 kan utstede en av flere kommandoer til skadelig programvare for kjøring på det infiserte systemet:
- Be om ytterligere handlinger
- Kjør en Linux-kommando i en ny tråd
Hyppig patching spiller en viktig rolle for å forhindre 1-dags utnyttelser. Dessuten kan implementering av tilleggstiltak som nettverkssegmentering, endepunktbeskyttelse og multifaktorautentisering redusere virkningen av potensielle brudd.
Den ekstra skadelige programvaren ble droppet ved siden av NerbianRAT
MiniNerbian er en strømlinjeformet versjon av NerbianRAT, hovedsakelig brukt for kommandoutførelse. Funksjonen omfatter utføring av kommandoer fra C2 og overføring av resultater, oppdatering av aktivitetsplaner (for hele dager eller bestemte timer), og justering av konfigurasjoner. I motsetning til den mer intrikate NerbianRAT, kommuniserer MiniNerbian med C2 gjennom HTTP i stedet for rå TCP-sockets, noe som potensielt indikerer at den fungerer som et valg for redundans eller som en skjult bakdør i spesifikke scenarier av Magnet Goblin.