Вредоносное ПО NerbianRAT для Linux
Группа, известная как Magnet Goblin, которая является финансово мотивированной угрозой, использует различные однодневные уязвимости для проникновения на общедоступные серверы. Они специализируются на атаках на системы Windows и Linux, развертывая настроенное вредоносное ПО внутри целевой системы. Эти уязвимости обычно возникают однодневно и представляют собой недостатки, которые были публично раскрыты с помощью уже доступных исправлений. Чтобы эффективно использовать эти недостатки, злоумышленники должны действовать быстро, прежде чем потенциальные цели смогут внедрить выпущенные обновления безопасности.
Оглавление
Магнитный гоблин использует большое количество уязвимостей, чтобы удалить собственный вариант NerbianRAT
Обычно эксплойты не доступны сразу после обнаружения уязвимости. Однако некоторые уязвимости относительно легко эксплуатировать, а реверс-инжиниринг патча может выявить основную проблему и ее уязвимые аспекты. Аналитики информационной безопасности, исследовавшие «Магнитного гоблина», отмечают, что эти субъекты быстро начинают использовать недавно обнаруженные уязвимости, иногда в течение дня после выпуска эксплойта «Доказательство концепции» (PoC).
Хакеры нацелены на ряд устройств и сервисов, включая Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) и Magento (CVE-2022-24086).
Магнитный гоблин использует эти уязвимости для проникновения на серверы специализированных вредоносных программ, таких как NerbianRAT и MiniNerbian, а также модифицированной версии похитителя JavaScript WARPWIRE.
NerbianRAT может выполнять множество угрожающих функций
С 2022 года исследователям известно о NerbianRAT для Windows. Однако теперь они показывают, что грубо скомпилированный, но эффективный вариант Linux, используемый Magnet Goblin, циркулирует с мая 2022 года.
После инициализации вредоносная программа предпринимает первоначальные действия, такие как сбор системной информации, такой как время, имя пользователя и имя компьютера, создание идентификатора бота, установка жестко закодированного IP-адреса в качестве основного и вторичного хостов, создание рабочего каталога и загрузка общедоступного ключа RSA. для шифрования сетевых коммуникаций.
После этого NerbianRAT загружает свою конфигурацию, которая определяет время активности (время работы), интервалы связи с сервером управления и контроля (C2) и другие параметры.
C2 может выдать одну из нескольких команд вредоносному ПО для выполнения в зараженной системе:
- Запросить дополнительные действия
- Выполнить команду Linux в новом потоке
Частые исправления играют жизненно важную роль в предотвращении однодневных эксплойтов. Более того, внедрение дополнительных мер, таких как сегментация сети, защита конечных точек и многофакторная аутентификация, может снизить воздействие потенциальных взломов.
Дополнительное вредоносное ПО, обнаруженное вместе с NerbianRAT
MiniNerbian — это упрощенная версия NerbianRAT, преимущественно используемая для выполнения команд. Его функциональность включает в себя выполнение команд с C2 и передачу результатов, обновление графиков активности (на полные дни или определенные часы) и настройку конфигураций. В отличие от более сложного NerbianRAT, MiniNerbian взаимодействует с C2 через HTTP, а не через простые TCP-сокеты, что потенциально указывает на то, что он служит выбором для резервирования или скрытым бэкдором в определенных сценариях Magnet Goblin.