Škodlivý softvér NerbianRAT Linux
Skupina známa ako Magnet Goblin, ktorá je finančne motivovaným aktérom hrozieb, využíva rôzne 1-dňové zraniteľnosti na infiltráciu serverov prístupných verejnosti. Špecializujú sa na zacielenie na systémy Windows aj Linux a nasadzujú prispôsobený malvér, akonáhle sa dostanú do cieľového systému. Tieto zraniteľnosti sú zvyčajne 1-dňové chyby a sú to slabé stránky, ktoré boli verejne zverejnené s už dostupnými opravami. Na efektívne využitie týchto nedostatkov musia aktéri hrozieb konať rýchlo predtým, ako môžu potenciálne ciele implementovať vydané aktualizácie zabezpečenia.
Obsah
Magnet Goblin využíva veľké množstvo zraniteľností na odstránenie vlastného variantu NerbianRAT
Využitie zvyčajne nie je ľahko dostupné ihneď po odhalení chyby. Niektoré zraniteľné miesta sa však dajú pomerne ľahko zneužiť a reverzné inžinierstvo opravy môže odhaliť základný problém a jeho zneužiteľné aspekty. Analytici informačnej bezpečnosti, ktorí skúmali Magnet Goblin, poznamenávajú, že títo aktéri rýchlo využívajú novo odhalené zraniteľnosti, niekedy v priebehu jedného dňa od zverejnenia zneužitia Proof of Concept (PoC).
Hackeri sa zameriavajú na celý rad zariadení a služieb vrátane Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) a Magento (CVE-2022-24086).
Magnet Goblin využíva tieto zraniteľnosti na infiltráciu serverov s prispôsobeným malvérom, ako sú NerbianRAT a MiniNerbian, spolu s prispôsobenou verziou WARPWIRE JavaScript stealer.
NerbianRAT môže vykonávať množstvo hroziacich funkcií
Od roku 2022 vedci poznajú NerbianRAT pre Windows. Teraz však odhaľujú, že od mája 2022 je v obehu hrubo zostavený, ale efektívny variant Linuxu, ktorý využíva Magnet Goblin.
Po inicializácii vykoná malvér počiatočné akcie, ako je zhromaždenie systémových informácií, ako je čas, používateľské meno a názov počítača, vygenerovanie ID robota, nastavenie pevne zakódovanej IP adresy ako primárneho a sekundárneho hostiteľa, vytvorenie pracovného adresára a načítanie verejného kľúča RSA. na šifrovanie sieťovej komunikácie.
Potom NerbianRAT načíta svoju konfiguráciu, ktorá určuje časy aktivity (pracovný čas), intervaly komunikácie s príkazovým a riadiacim (C2) serverom a ďalšie parametre.
C2 môže vydať jeden z niekoľkých príkazov malvéru na vykonanie v infikovanom systéme:
- Požiadajte o ďalšie akcie
- Vykonajte príkaz systému Linux v novom vlákne
Časté opravovanie hrá dôležitú úlohu pri predchádzaní 1-dňovým exploitom. Okrem toho implementácia dodatočných opatrení, ako je segmentácia siete, ochrana koncových bodov a viacfaktorová autentifikácia, môže znížiť vplyv potenciálnych porušení.
Doplnkový malvér klesol popri NerbianRAT
MiniNerbian je zjednodušená verzia NerbianRAT, ktorá sa používa predovšetkým na vykonávanie príkazov. Jeho funkčnosť zahŕňa vykonávanie príkazov z C2 a prenos výsledkov, aktualizáciu plánov aktivít (na celé dni alebo konkrétne hodiny) a úpravu konfigurácií. Na rozdiel od zložitejšieho NerbianRAT, MiniNerbian komunikuje s C2 prostredníctvom HTTP namiesto surových TCP soketov, čo potenciálne naznačuje, že slúži ako voľba pre redundanciu alebo ako skryté zadné vrátka v špecifických scenároch od Magnet Goblin.