NerbianRAT Linux Malware
Un grup cunoscut sub numele de Magnet Goblin, care este un actor de amenințări motivat financiar, folosește diverse vulnerabilități de o zi pentru a se infiltra în servere accesibile publicului. Ei sunt specializați în țintirea sistemelor Windows și Linux, implementând malware personalizat odată în interiorul sistemului vizat. Aceste vulnerabilități sunt de obicei defecte de o zi și sunt puncte slabe care au fost dezvăluite public cu patch-uri deja disponibile. Pentru a exploata eficient aceste defecte, actorii amenințărilor trebuie să acționeze rapid înainte ca potențialele ținte să poată implementa actualizările de securitate lansate.
Cuprins
Magnet Goblin exploatează un număr mare de vulnerabilități pentru a renunța la o variantă NerbianRAT personalizată
De obicei, exploit-urile nu sunt ușor accesibile imediat după dezvăluirea unui defect. Cu toate acestea, anumite vulnerabilități sunt relativ ușor de exploatat, iar ingineria inversă a patch-ului poate dezvălui problema de bază și aspectele sale exploatabile. Analiștii de securitate a informațiilor care au cercetat Magnet Goblin observă că acești actori se mișcă rapid pentru a exploata vulnerabilitățile nou dezvăluite, uneori într-o zi de la lansarea unui exploit Proof of Concept (PoC).
Hackerii vizează o gamă largă de dispozitive și servicii, inclusiv Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) și Magento (CVE-2022-24086).
Magnet Goblin utilizează aceste vulnerabilități pentru a se infiltra în servere cu programe malware personalizate, cum ar fi NerbianRAT și MiniNerbian, împreună cu o versiune personalizată a furtului JavaScript WARPWIRE.
NerbianRAT poate îndeplini numeroase funcții amenințătoare
Din 2022, cercetătorii sunt la curent cu NerbianRAT pentru Windows. Cu toate acestea, ei dezvăluie acum că o variantă Linux compilată, dar eficientă, utilizată de Magnet Goblin, circulă din mai 2022.
La inițializare, malware-ul întreprinde acțiuni inițiale, cum ar fi colectarea de informații despre sistem, cum ar fi ora, numele de utilizator și numele mașinii, generarea unui ID de bot, setarea unei adrese IP codificate ca gazde primare și secundare, stabilirea directorului de lucru și încărcarea unei chei RSA publice. pentru criptarea comunicațiilor în rețea.
În urma acesteia, NerbianRAT își încarcă configurația, care dictează timpii de activitate (timpul de lucru), intervalele de comunicare cu serverul de comandă și control (C2) și alți parametri.
C2 poate emite una dintre mai multe comenzi către malware pentru a fi executată pe sistemul infectat:
- Solicitați acțiuni suplimentare
- Executați o comandă Linux într-un fir nou
Patch-urile frecvente joacă un rol vital în prevenirea exploatărilor de 1 zi. În plus, implementarea unor măsuri suplimentare, cum ar fi segmentarea rețelei, protecția punctelor terminale și autentificarea cu mai mulți factori, poate reduce impactul potențialelor încălcări.
Malware-ul suplimentar a fost eliminat împreună cu NerbianRAT
MiniNerbian este o versiune simplificată a NerbianRAT, folosită în principal pentru executarea comenzilor. Funcționalitatea sa cuprinde executarea comenzilor de la C2 și transmiterea rezultatelor, actualizarea programelor de activitate (pentru zile întregi sau ore specifice) și ajustarea configurațiilor. Spre deosebire de NerbianRAT mai complicat, MiniNerbian comunică cu C2 prin HTTP în loc de socket-uri TCP brute, indicând potențial că servește ca o alegere pentru redundanță sau ca o ușă secretă în scenarii specifice de Magnet Goblin.