Multi-License Discount Quote
Uncategorized NerbianRAT Linux zlonamerna programska oprema

NerbianRAT Linux zlonamerna programska oprema

Do leta Mezo leta Uncategorized
Prevedi v:
Slovenščina

Skupina, znana kot Magnet Goblin, ki je finančno motiviran akter groženj, uporablja različne enodnevne ranljivosti za infiltracijo v strežnike, ki so dostopni javnosti. Specializirani so za ciljanje na sisteme Windows in Linux, pri čemer uvajajo prilagojeno zlonamerno programsko opremo, ko se nahajajo v ciljnem sistemu. Te ranljivosti so običajno enodnevne napake in so slabosti, ki so bile javno razkrite s popravki, ki so že na voljo. Za učinkovito izkoriščanje teh pomanjkljivosti morajo akterji groženj ukrepati hitro, preden morebitne tarče lahko implementirajo izdane varnostne posodobitve.

Magnet Goblin izkorišča veliko število ranljivosti, da izpusti različico NerbianRAT po meri

Običajno izkoriščanja niso zlahka dostopna takoj po razkritju napake. Vendar je nekatere ranljivosti razmeroma enostavno izkoristiti in povratni inženiring popravka lahko razkrije osnovno težavo in njene vidike, ki jih je mogoče izkoristiti. Analitiki informacijske varnosti, ki so raziskovali Magnet Goblin, ugotavljajo, da se ti akterji hitro lotijo izkoriščanja na novo razkritih ranljivosti, včasih že v enem dnevu po objavi izkoriščanja Proof of Concept (PoC).

Hekerji ciljajo na vrsto naprav in storitev, vključno z Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) in Magento (CVE-2022-24086).

Magnet Goblin uporablja te ranljivosti za infiltracijo v strežnike s prilagojeno zlonamerno programsko opremo, kot sta NerbianRAT in MiniNerbian, skupaj s prilagojeno različico programa za krajo JavaScript WARPWIRE.

NerbianRAT lahko izvaja številne nevarne funkcije

Od leta 2022 so raziskovalci seznanjeni z NerbianRAT za Windows. Vendar pa zdaj razkrivajo, da grobo prevedena, a učinkovita različica Linuxa, ki jo uporablja Magnet Goblin, kroži od maja 2022.

Po inicializaciji zlonamerna programska oprema izvede začetna dejanja, kot je zbiranje informacij o sistemu, kot so čas, uporabniško ime in ime stroja, generiranje ID-ja bota, nastavitev trdo kodiranega naslova IP kot primarnega in sekundarnega gostitelja, vzpostavitev delovnega imenika in nalaganje javnega ključa RSA za šifriranje omrežne komunikacije.

Po tem NerbianRAT naloži svojo konfiguracijo, ki narekuje čase aktivnosti (delovni čas), intervale za komunikacijo s strežnikom za ukaze in nadzor (C2) ter druge parametre.

C2 lahko zlonamerni programski opremi izda enega od več ukazov za izvedbo v okuženem sistemu:

  • Zahtevajte dodatna dejanja
  • Izvedite ukaz Linux v novi niti
  • Pošljite rezultate ukaza in počistite datoteko; ustavite vse tekoče ukaze
  • Takoj izvedite ukaz Linuxa
  • Ne ukrepaj
  • Spremenite interval povezave
  • Prilagodite in shranite nastavitve delovnega časa
  • Zagotovite čase nedejavnosti, konfiguracijo ali rezultate ukazov
  • Posodobite specifično konfiguracijsko spremenljivko
  • Osvežite medpomnilnik ukazov za ukaze za izvajanje C2

    • Pogosto popravljanje popravkov ima ključno vlogo pri preprečevanju enodnevnih izkoriščanj. Poleg tega lahko izvajanje dodatnih ukrepov, kot so segmentacija omrežja, zaščita končne točke in večfaktorska avtentikacija, zmanjša vpliv morebitnih kršitev.

    Dodatna zlonamerna programska oprema je padla skupaj z NerbianRAT

    MiniNerbian je poenostavljena različica NerbianRAT, ki se večinoma uporablja za izvajanje ukazov. Njegova funkcionalnost zajema izvajanje ukazov iz C2 in prenos rezultatov, posodabljanje urnikov dejavnosti (za cele dneve ali določene ure) in prilagajanje konfiguracij. Za razliko od bolj zapletenega NerbianRAT, MiniNerbian komunicira s C2 prek HTTP namesto neobdelanih vtičnic TCP, kar lahko nakazuje, da služi kot izbira redundance ali kot prikrita stranska vrata v posebnih scenarijih Magnet Goblin.

    Nalaganje...