NerbianRAT Linux Malware
Um grupo conhecido como Magnet Goblin, que é um ator de ameaças com motivação financeira, emprega várias vulnerabilidades de 1 dia para se infiltrar em servidores acessíveis ao público. Eles são especializados em atingir sistemas Windows e Linux, implantando malware personalizado uma vez dentro do sistema visado. Essas vulnerabilidades geralmente são falhas de 1 dia e são pontos fracos que foram divulgados publicamente com patches já disponíveis. Para explorar eficazmente estas falhas, os agentes de ameaças devem agir rapidamente antes que os alvos potenciais possam implementar as atualizações de segurança lançadas.
Índice
O Magnet Goblin Explora um Grande Número de Vulnerabilidades para Eliminar uma Variante Personalizada do NerbianRAT
Normalmente, as explorações não são prontamente acessíveis imediatamente após a divulgação de uma falha. No entanto, certas vulnerabilidades são relativamente fáceis de explorar, e a engenharia reversa do patch pode revelar o problema subjacente e seus aspectos exploráveis. Analistas de segurança da informação que pesquisam o Magnet Goblin observam que esses atores agem rapidamente para explorar vulnerabilidades recém-divulgadas, às vezes um dia após o lançamento de uma exploração de Prova de Conceito (PoC).
Os hackers têm como alvo uma variedade de dispositivos e serviços, incluindo Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) e Magento (CVE-2022-24086).
O Magnet Goblin utiliza essas vulnerabilidades para se infiltrar em servidores com malware personalizado, como NerbianRAT e MiniNerbian, junto com uma versão personalizada do ladrão de JavaScript WARPWIRE.
O NerbianRAT pode Executar Inúmeras Funções Ameaçadoras
Desde 2022, os pesquisadores conhecem o NerbianRAT para Windows. No entanto, eles agora revelam que uma variante do Linux compilada de maneira grosseira, mas eficaz, utilizada por Magnet Goblin, está circulando desde maio de 2022.
Após a inicialização, o malware realiza ações iniciais, como coletar informações do sistema como hora, nome de usuário e nome da máquina, gerar um ID de bot, definir um endereço de IP codificado como hosts primários e secundários, estabelecer o diretório de trabalho e carregar uma chave RSA pública. para criptografar a comunicação em rede.
Em seguida, o NerbianRAT carrega sua configuração, que dita os tempos de atividade (worktime), intervalos de comunicação com o servidor de comando e controle (C2), entre outros parâmetros.
O C2 pode emitir um dos vários comandos ao malware para execução no sistema infectado:
- Solicitar ações adicionais
- Execute um comando Linux em um novo thread
- Envie os resultados do comando e limpe o arquivo; interromper quaisquer comandos em andamento
- Execute imediatamente um comando Linux
- Não tome nenhuma ação
- Modifique o intervalo de conexão
- Ajustar e salvar configurações de horário de trabalho
- Fornece tempos de inatividade, configuração ou resultados de comando
- Atualizar uma variável de configuração específica
- Atualize o buffer de comando para comandos de execução C2
A aplicação frequente de patches desempenha um papel vital na prevenção de explorações de 1 dia. Além disso, a implementação de medidas adicionais como segmentação de rede, proteção de endpoint e autenticação multifator pode reduzir o impacto de possíveis violações.
O Outro Malware Instalado Junto com o NerbianRAT
O MiniNerbian é uma versão simplificada do NerbianRAT, predominantemente empregado para execução de comandos. Sua funcionalidade abrange a execução de comandos do C2 e transmissão de resultados, atualização de cronogramas de atividades (para dias completos ou horários específicos) e ajuste de configurações. Ao contrário do NerbianRAT mais complexo, o MiniNerbian se comunica com o C2 por meio de HTTP em vez de soquetes TCP brutos, indicando potencialmente que serve como uma opção para redundância ou como um backdoor secreto em cenários específicos do Magnet Goblin.