NerbianRAT Linux-malware
Een groep die bekend staat als de Magnet Goblin en een financieel gemotiveerde bedreigingsacteur is, maakt gebruik van verschillende eendaagse kwetsbaarheden om servers te infiltreren die toegankelijk zijn voor het publiek. Ze zijn gespecialiseerd in het aanvallen van zowel Windows- als Linux-systemen, waarbij aangepaste malware wordt ingezet zodra deze zich binnen het beoogde systeem bevindt. Deze kwetsbaarheden zijn meestal fouten van één dag en zijn zwakke punten die openbaar zijn gemaakt met reeds beschikbare patches. Om deze tekortkomingen effectief te kunnen misbruiken, moeten bedreigingsactoren snel handelen voordat potentiële doelwitten de vrijgegeven beveiligingsupdates kunnen implementeren.
Inhoudsopgave
De Magnet Goblin maakt gebruik van een groot aantal kwetsbaarheden om een aangepaste NerbianRAT-variant te droppen
Doorgaans zijn exploits niet direct toegankelijk zodra een fout wordt onthuld. Bepaalde kwetsbaarheden zijn echter relatief eenvoudig te misbruiken, en het reverse-engineeren van de patch kan het onderliggende probleem en de exploiteerbare aspecten ervan aan het licht brengen. Informatiebeveiligingsanalisten die onderzoek hebben gedaan naar de Magnet Goblin merken op dat deze actoren snel actie ondernemen om nieuw onthulde kwetsbaarheden te misbruiken, soms binnen een dag nadat een Proof of Concept (PoC) exploit is vrijgegeven.
De hackers richten zich op een reeks apparaten en diensten, waaronder Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) en Magento (CVE-2022-24086).
De Magnet Goblin gebruikt deze kwetsbaarheden om servers te infiltreren met op maat gemaakte malware, zoals NerbianRAT en MiniNerbian, samen met een aangepaste versie van de WARPWIRE JavaScript-stealer.
De NerbianRAT kan talrijke bedreigende functies uitvoeren
Sinds 2022 zijn onderzoekers op de hoogte van NerbianRAT voor Windows. Ze onthullen nu echter dat een grof samengestelde maar effectieve Linux-variant die door Magnet Goblin wordt gebruikt, sinds mei 2022 in omloop is.
Bij de initialisatie onderneemt de malware de eerste acties, zoals het verzamelen van systeeminformatie zoals tijd, gebruikersnaam en machinenaam, het genereren van een bot-ID, het instellen van een hardgecodeerd IP-adres als primaire en secundaire hosts, het vaststellen van de werkmap en het laden van een openbare RSA-sleutel voor het coderen van netwerkcommunicatie.
Hierna laadt NerbianRAT zijn configuratie, die de activiteitstijden (werktijd), intervallen voor communicatie met de command and control (C2) server en andere parameters bepaalt.
De C2 kan een van de volgende opdrachten aan de malware geven voor uitvoering op het geïnfecteerde systeem:
- Vraag aanvullende acties aan
- Voer een Linux-opdracht uit in een nieuwe thread
Regelmatig patchen speelt een cruciale rol bij het voorkomen van exploits van één dag. Bovendien kan het implementeren van aanvullende maatregelen zoals netwerksegmentatie, eindpuntbescherming en multi-factor authenticatie de impact van potentiële inbreuken verminderen.
De aanvullende malware is naast NerbianRAT verdwenen
MiniNerbian is een gestroomlijnde versie van NerbianRAT, die voornamelijk wordt gebruikt voor het uitvoeren van opdrachten. De functionaliteit omvat het uitvoeren van opdrachten van de C2 en het verzenden van resultaten, het bijwerken van activiteitenschema's (voor volledige dagen of specifieke uren) en het aanpassen van configuraties. In tegenstelling tot de meer ingewikkelde NerbianRAT communiceert MiniNerbian met de C2 via HTTP in plaats van onbewerkte TCP-sockets, wat mogelijk aangeeft dat het dient als een keuze voor redundantie of als een geheime achterdeur in specifieke scenario's van Magnet Goblin.