NerbianRAT लिनक्स मालवेयर

म्याग्नेट गोब्लिन भनेर चिनिने समूह, जो आर्थिक रूपमा उत्प्रेरित खतरा अभिनेता हो, जनताको लागि पहुँचयोग्य सर्भरहरू घुसाउन विभिन्न 1-दिन जोखिमहरू प्रयोग गर्दछ। तिनीहरू दुबै विन्डोज र लिनक्स प्रणालीहरूलाई लक्षित गर्नमा विशेषज्ञ छन्, लक्षित प्रणाली भित्र एक पटक अनुकूलित मालवेयर तैनाती। यी कमजोरीहरू सामान्यतया 1-दिनका त्रुटिहरू हुन् र कमजोरीहरू हुन् जुन पहिले नै उपलब्ध प्याचहरूसँग सार्वजनिक रूपमा खुलासा गरिएको छ। यी त्रुटिहरूको प्रभावकारी रूपमा शोषण गर्न, सम्भावित लक्ष्यहरूले जारी गरिएको सुरक्षा अपडेटहरू लागू गर्न अघि खतरा अभिनेताहरूले द्रुत रूपमा कार्य गर्नुपर्छ।

म्याग्नेट गोब्लिनले कस्टम NerbianRAT भेरियन्ट छोड्न ठूलो संख्यामा कमजोरीहरूको शोषण गर्दछ

सामान्यतया, दोषको खुलासा भएपछि शोषणहरू तुरुन्तै पहुँचयोग्य हुँदैनन्। यद्यपि, केहि कमजोरीहरू शोषण गर्न अपेक्षाकृत सजिलो छ, र प्याचलाई रिभर्स-इन्जिनियरिङले अन्तर्निहित मुद्दा र यसको शोषणयोग्य पक्षहरूलाई अनावरण गर्न सक्छ। म्याग्नेट गोब्लिनको अनुसन्धान गरिरहेका सूचना सुरक्षा विश्लेषकहरूले नोट गर्छन् कि यी अभिनेताहरू नयाँ खुलासा कमजोरीहरूको शोषण गर्न द्रुत रूपमा अघि बढ्छन्, कहिलेकाहीँ अवधारणाको प्रमाण (PoC) शोषण जारी भएको एक दिन भित्र।

ह्याकरहरूले Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWenCS, ConnectWise, SVCREC लगायत उपकरण र सेवाहरूको दायरालाई लक्षित गर्छन्। -2023-41265, CVE-2023-41266, CVE-2023-48365) र Magento (CVE-2022-24086)।

म्याग्नेट गोब्लिनले यी कमजोरीहरूलाई WARPWIRE JavaScript स्टिलरको अनुकूलित संस्करणको साथ NerbianRAT र MiniNerbian जस्ता अनुकूलित मालवेयरको साथ सर्भरहरूमा घुसपैठ गर्न प्रयोग गर्दछ।

NerbianRAT ले धेरै धम्की दिने कार्यहरू गर्न सक्छ

२०२२ देखि, अन्वेषकहरू विन्डोजका लागि NerbianRAT बारे सचेत छन्। जे होस्, उनीहरूले अब खुलासा गर्छन् कि म्याग्नेट गोब्लिनले प्रयोग गरेको एक क्रूड कम्पाइल गरिएको तर प्रभावकारी लिनक्स संस्करण मे २०२२ देखि प्रसारित भइरहेको छ।

प्रारम्भमा, मालवेयरले प्रारम्भिक कार्यहरू गर्दछ, जस्तै समय, प्रयोगकर्ता नाम, र मेसिनको नाम जस्ता प्रणाली जानकारी सङ्कलन गर्ने, बट ID उत्पन्न गर्ने, प्राथमिक र माध्यमिक होस्टहरूको रूपमा हार्डकोड गरिएको IP ठेगाना सेट गर्ने, कार्य निर्देशिका स्थापना गर्ने, र सार्वजनिक RSA कुञ्जी लोड गर्ने। नेटवर्क संचार इन्क्रिप्ट गर्न को लागी।

यसपछि, NerbianRAT ले आफ्नो कन्फिगरेसन लोड गर्छ, जसले गतिविधि समय (कार्य समय), आदेश र नियन्त्रण (C2) सर्भरसँग सञ्चारका लागि अन्तरालहरू, र अन्य प्यारामिटरहरू निर्धारण गर्दछ।

C2 ले संक्रमित प्रणालीमा कार्यान्वयनको लागि मालवेयरलाई धेरै आदेशहरू मध्ये एउटा जारी गर्न सक्छ:

• थप कार्यहरू अनुरोध गर्नुहोस्
• नयाँ थ्रेडमा लिनक्स आदेश कार्यान्वयन गर्नुहोस्

बारम्बार प्याचिङले 1-दिनको शोषण रोक्न महत्त्वपूर्ण भूमिका खेल्छ। यसबाहेक, नेटवर्क विभाजन, अन्त्य बिन्दु सुरक्षा, र बहु-कारक प्रमाणीकरण जस्ता अतिरिक्त उपायहरू लागू गर्नाले सम्भावित उल्लङ्घनहरूको प्रभावलाई कम गर्न सक्छ।

सप्लिमेन्टरी मालवेयर NerbianRAT सँगसँगै छोडियो

MiniNerbian NerbianRAT को एक सुव्यवस्थित संस्करण हो, मुख्यतया आदेश कार्यान्वयनको लागि प्रयोग गरिन्छ। यसको कार्यक्षमताले C2 बाट आदेशहरू कार्यान्वयन गर्ने र परिणामहरू प्रसारण गर्ने, गतिविधि तालिकाहरू अद्यावधिक गर्ने (पूर्ण दिन वा विशिष्ट घण्टाको लागि), र कन्फिगरेसनहरू समायोजन गर्ने समावेश गर्दछ। थप जटिल NerbianRAT को विपरीत, MiniNerbian ले कच्चा TCP सकेटहरूको सट्टा HTTP मार्फत C2 सँग सञ्चार गर्छ, यसले सम्भावित रूपमा संकेत गर्दछ कि यो रिडन्डन्सीको लागि विकल्पको रूपमा वा म्याग्नेट गोब्लिन द्वारा विशिष्ट परिदृश्यहरूमा गुप्त ब्याकडोरको रूपमा काम गर्दछ।