NerbianRAT Linux ਮਾਲਵੇਅਰ

ਮੈਗਨੇਟ ਗੋਬਲਿਨ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਸਮੂਹ, ਜੋ ਕਿ ਇੱਕ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਹੈ, ਜਨਤਾ ਲਈ ਪਹੁੰਚਯੋਗ ਸਰਵਰਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ 1-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਉਹ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਦੋਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਿੱਚ ਮੁਹਾਰਤ ਰੱਖਦੇ ਹਨ, ਇੱਕ ਵਾਰ ਟਾਰਗੇਟ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਕਸਟਮਾਈਜ਼ ਕੀਤੇ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਇਹ ਕਮਜ਼ੋਰੀਆਂ ਆਮ ਤੌਰ 'ਤੇ 1-ਦਿਨ ਦੀਆਂ ਖਾਮੀਆਂ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਹੁੰਦੀਆਂ ਹਨ ਜੋ ਪਹਿਲਾਂ ਹੀ ਉਪਲਬਧ ਪੈਚਾਂ ਨਾਲ ਜਨਤਕ ਤੌਰ 'ਤੇ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇਹਨਾਂ ਖਾਮੀਆਂ ਦਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ, ਸੰਭਾਵੀ ਟੀਚਿਆਂ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸੁਰੱਖਿਆ ਅਪਡੇਟਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਕੰਮ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਮੈਗਨੇਟ ਗੋਬਲਿਨ ਇੱਕ ਕਸਟਮ NerbianRAT ਵੇਰੀਐਂਟ ਨੂੰ ਛੱਡਣ ਲਈ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

ਆਮ ਤੌਰ 'ਤੇ, ਕਿਸੇ ਨੁਕਸ ਦੇ ਖੁਲਾਸੇ 'ਤੇ ਸ਼ੋਸ਼ਣ ਆਸਾਨੀ ਨਾਲ ਪਹੁੰਚਯੋਗ ਨਹੀਂ ਹੁੰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਕੁਝ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਮੁਕਾਬਲਤਨ ਆਸਾਨ ਹੈ, ਅਤੇ ਪੈਚ ਨੂੰ ਉਲਟਾ-ਇੰਜੀਨੀਅਰਿੰਗ ਅੰਡਰਲਾਈੰਗ ਮੁੱਦੇ ਅਤੇ ਇਸਦੇ ਸ਼ੋਸ਼ਣਯੋਗ ਪਹਿਲੂਆਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰ ਸਕਦੀ ਹੈ। ਸੂਚਨਾ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕ ਜੋ ਮੈਗਨੇਟ ਗੋਬਲਿਨ ਦੀ ਖੋਜ ਕਰ ਰਹੇ ਹਨ, ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ ਇਹ ਅਦਾਕਾਰ ਨਵੀਆਂ ਖੁਲਾਸੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਤੇਜ਼ੀ ਨਾਲ ਅੱਗੇ ਵਧਦੇ ਹਨ, ਕਈ ਵਾਰ ਪਰੂਫ ਆਫ ਕੰਸੈਪਟ (ਪੀਓਸੀ) ਦੇ ਸ਼ੋਸ਼ਣ ਦੇ ਜਾਰੀ ਹੋਣ ਦੇ ਇੱਕ ਦਿਨ ਦੇ ਅੰਦਰ।

ਹੈਕਰਾਂ ਨੇ ਇਵਾਂਤੀ ਕਨੈਕਟ ਸਕਿਓਰ (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, Connectense SQVEKE, ਕਨੈਕਟ ਵਾਈਜ਼, ਸਿਕਿਓਰ ਸਮੇਤ ਕਈ ਡਿਵਾਈਸਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। -2023-41265, CVE-2023-41266, CVE-2023-48365) ਅਤੇ Magento (CVE-2022-24086)।

ਮੈਗਨੇਟ ਗੋਬਲਿਨ WARPWIRE JavaScript ਸਟੀਲਰ ਦੇ ਅਨੁਕੂਲਿਤ ਸੰਸਕਰਣ ਦੇ ਨਾਲ, NerbianRAT ਅਤੇ MiniNerbian ਵਰਗੇ ਅਨੁਕੂਲਿਤ ਮਾਲਵੇਅਰ ਨਾਲ ਸਰਵਰਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਇਹਨਾਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

NerbianRAT ਬਹੁਤ ਸਾਰੇ ਧਮਕਾਉਣ ਵਾਲੇ ਕਾਰਜ ਕਰ ਸਕਦਾ ਹੈ

2022 ਤੋਂ, ਖੋਜਕਰਤਾ ਵਿੰਡੋਜ਼ ਲਈ NerbianRAT ਬਾਰੇ ਜਾਣੂ ਹਨ। ਹਾਲਾਂਕਿ, ਉਹ ਹੁਣ ਇਹ ਖੁਲਾਸਾ ਕਰਦੇ ਹਨ ਕਿ ਮੈਗਨੇਟ ਗੋਬਲਿਨ ਦੁਆਰਾ ਵਰਤਿਆ ਗਿਆ ਇੱਕ ਕੱਚਾ ਸੰਕਲਿਤ ਪਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਲੀਨਕਸ ਵੇਰੀਐਂਟ ਮਈ 2022 ਤੋਂ ਘੁੰਮ ਰਿਹਾ ਹੈ।

ਸ਼ੁਰੂਆਤ ਕਰਨ 'ਤੇ, ਮਾਲਵੇਅਰ ਸ਼ੁਰੂਆਤੀ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਜਿਵੇਂ ਕਿ ਸਮਾਂ, ਉਪਭੋਗਤਾ ਨਾਮ, ਅਤੇ ਮਸ਼ੀਨ ਦਾ ਨਾਮ ਇਕੱਠਾ ਕਰਨਾ, ਇੱਕ ਬੋਟ ਆਈਡੀ ਤਿਆਰ ਕਰਨਾ, ਇੱਕ ਹਾਰਡਕੋਡਡ IP ਐਡਰੈੱਸ ਨੂੰ ਪ੍ਰਾਇਮਰੀ ਅਤੇ ਸੈਕੰਡਰੀ ਮੇਜ਼ਬਾਨਾਂ ਵਜੋਂ ਸੈੱਟ ਕਰਨਾ, ਵਰਕਿੰਗ ਡਾਇਰੈਕਟਰੀ ਸਥਾਪਤ ਕਰਨਾ, ਅਤੇ ਇੱਕ ਜਨਤਕ RSA ਕੁੰਜੀ ਨੂੰ ਲੋਡ ਕਰਨਾ। ਨੈੱਟਵਰਕ ਸੰਚਾਰ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ।

ਇਸ ਤੋਂ ਬਾਅਦ, NerbianRAT ਆਪਣੀ ਸੰਰਚਨਾ ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ, ਜੋ ਗਤੀਵਿਧੀ ਦੇ ਸਮੇਂ (ਵਰਕਟਾਈਮ), ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਲਈ ਅੰਤਰਾਲ, ਅਤੇ ਹੋਰ ਮਾਪਦੰਡਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।

C2 ਲਾਗ ਵਾਲੇ ਸਿਸਟਮ 'ਤੇ ਚੱਲਣ ਲਈ ਮਾਲਵੇਅਰ ਨੂੰ ਕਈ ਕਮਾਂਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਜਾਰੀ ਕਰ ਸਕਦਾ ਹੈ:

• ਵਾਧੂ ਕਾਰਵਾਈਆਂ ਦੀ ਬੇਨਤੀ ਕਰੋ
• ਇੱਕ ਨਵੇਂ ਥ੍ਰੈਡ ਵਿੱਚ ਇੱਕ ਲੀਨਕਸ ਕਮਾਂਡ ਚਲਾਓ

ਵਾਰ-ਵਾਰ ਪੈਚਿੰਗ 1-ਦਿਨ ਦੇ ਕਾਰਨਾਮੇ ਨੂੰ ਰੋਕਣ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨੈੱਟਵਰਕ ਵਿਭਾਜਨ, ਅੰਤਮ ਬਿੰਦੂ ਸੁਰੱਖਿਆ, ਅਤੇ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਵਰਗੇ ਵਾਧੂ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਸੰਭਾਵੀ ਉਲੰਘਣਾਵਾਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾ ਸਕਦਾ ਹੈ।

NerbianRAT ਦੇ ਨਾਲ ਪੂਰਕ ਮਾਲਵੇਅਰ ਛੱਡਿਆ ਗਿਆ

MiniNerbian NerbianRAT ਦਾ ਇੱਕ ਸੁਚਾਰੂ ਰੂਪ ਹੈ, ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਵਿੱਚ C2 ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ ਅਤੇ ਨਤੀਜਿਆਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨਾ, ਗਤੀਵਿਧੀ ਦੇ ਕਾਰਜਕ੍ਰਮ ਨੂੰ ਅਪਡੇਟ ਕਰਨਾ (ਪੂਰੇ ਦਿਨਾਂ ਜਾਂ ਖਾਸ ਘੰਟਿਆਂ ਲਈ), ਅਤੇ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਅਨੁਕੂਲ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਵਧੇਰੇ ਗੁੰਝਲਦਾਰ NerbianRAT ਦੇ ਉਲਟ, MiniNerbian ਕੱਚੇ TCP ਸਾਕਟਾਂ ਦੀ ਬਜਾਏ HTTP ਰਾਹੀਂ C2 ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਮੈਗਨੇਟ ਗੋਬਲਿਨ ਦੁਆਰਾ ਖਾਸ ਦ੍ਰਿਸ਼ਾਂ ਵਿੱਚ ਰਿਡੰਡੈਂਸੀ ਜਾਂ ਇੱਕ ਗੁਪਤ ਬੈਕਡੋਰ ਦੇ ਰੂਪ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ।