Złośliwe oprogramowanie dla systemu Linux NerbianRAT
Grupa znana jako Magnet Goblin, która stanowi zagrożenie motywowane finansowo, wykorzystuje różne jednodniowe luki w celu infiltracji serwerów dostępnych publicznie. Specjalizują się w atakowaniu zarówno systemów Windows, jak i Linux, wdrażając dostosowane złośliwe oprogramowanie po wejściu do docelowego systemu. Luki te to zazwyczaj luki jednodniowe, które zostały publicznie ujawnione wraz z już dostępnymi poprawkami. Aby skutecznie wykorzystać te luki, ugrupowania zagrażające muszą działać szybko, zanim potencjalne cele będą mogły wdrożyć wydane aktualizacje zabezpieczeń.
Spis treści
Magnet Goblin wykorzystuje dużą liczbę luk w zabezpieczeniach, aby upuścić niestandardowy wariant NerbianRAT
Zazwyczaj exploity nie są łatwo dostępne natychmiast po ujawnieniu wady. Jednakże niektóre luki są stosunkowo łatwe do wykorzystania, a inżynieria wsteczna łatki może ujawnić źródło problemu i możliwe do wykorzystania aspekty. Analitycy bezpieczeństwa informacji, którzy badali Magnet Goblina, zauważają, że podmioty te szybko podejmują działania, aby wykorzystać nowo ujawnione luki, czasami w ciągu jednego dnia od udostępnienia exploita Proof of Concept (PoC).
Hakerzy atakują szereg urządzeń i usług, w tym Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) i Magento (CVE-2022-24086).
Magnet Goblin wykorzystuje te luki do infiltrowania serwerów za pomocą dostosowanego szkodliwego oprogramowania, takiego jak NerbianRAT i MiniNerbian, wraz ze spersonalizowaną wersją złodzieja JavaScript WARPWIRE.
NerbianRAT może pełnić wiele groźnych funkcji
Od 2022 roku badacze znają NerbianRAT dla systemu Windows. Jednak teraz ujawniono, że od maja 2022 r. krąży prymitywnie skompilowany, ale skuteczny wariant Linuksa wykorzystywany przez Magnet Goblin.
Po inicjalizacji złośliwe oprogramowanie podejmuje wstępne działania, takie jak zbieranie informacji o systemie, takich jak czas, nazwa użytkownika i nazwa komputera, generowanie identyfikatora bota, ustawianie zakodowanego na stałe adresu IP jako hosta głównego i dodatkowego, ustanawianie katalogu roboczego i ładowanie publicznego klucza RSA do szyfrowania komunikacji sieciowej.
Następnie NerbianRAT ładuje swoją konfigurację, która określa czasy aktywności (czas pracy), interwały komunikacji z serwerem dowodzenia i kontroli (C2) oraz inne parametry.
C2 może wydać złośliwemu oprogramowaniu jedno z kilku poleceń w celu wykonania w zainfekowanym systemie:
- Poproś o dodatkowe działania
- Wykonaj polecenie systemu Linux w nowym wątku
Częste łatanie odgrywa kluczową rolę w zapobieganiu jednodniowym exploitom. Co więcej, wdrożenie dodatkowych środków, takich jak segmentacja sieci, ochrona punktów końcowych i uwierzytelnianie wieloskładnikowe, może zmniejszyć wpływ potencjalnych naruszeń.
Dodatkowe złośliwe oprogramowanie zostało usunięte wraz z NerbianRAT
MiniNerbian to usprawniona wersja NerbianRAT, używana głównie do wykonywania poleceń. Jego funkcjonalność obejmuje wykonywanie poleceń z C2 i przesyłanie wyników, aktualizację harmonogramów działań (na pełne dni lub określone godziny) oraz dostosowywanie konfiguracji. W przeciwieństwie do bardziej skomplikowanego NerbianRAT, MiniNerbian komunikuje się z C2 poprzez HTTP zamiast surowych gniazd TCP, co potencjalnie wskazuje, że służy jako wybór w przypadku redundancji lub jako ukryty backdoor w określonych scenariuszach Magnet Goblin.