Malware NerbianRAT Linux
Një grup i njohur si Magnet Goblin, i cili është një aktor kërcënimi i motivuar financiarisht, përdor dobësi të ndryshme 1-ditore për të depërtuar në serverë të aksesueshëm për publikun. Ata specializohen në shënjestrimin e sistemeve Windows dhe Linux, duke vendosur malware të personalizuar një herë brenda sistemit të synuar. Këto dobësi janë zakonisht të meta 1-ditore dhe janë dobësi që janë zbuluar publikisht me arna tashmë të disponueshme. Për të shfrytëzuar në mënyrë efektive këto të meta, aktorët e kërcënimit duhet të veprojnë me shpejtësi përpara se objektivat e mundshëm të mund të zbatojnë përditësimet e lëshuara të sigurisë.
Tabela e Përmbajtjes
Magnet Goblin shfrytëzon një numër të madh dobësish për të hequr një variant të personalizuar NerbianRAT
Në mënyrë tipike, shfrytëzimet nuk janë lehtësisht të arritshme menjëherë pas zbulimit të një të mete. Megjithatë, disa dobësi janë relativisht të lehta për t'u shfrytëzuar, dhe inxhinierimi i kundërt i patch-it mund të zbulojë problemin themelor dhe aspektet e tij të shfrytëzueshme. Analistët e sigurisë së informacionit që kanë hulumtuar Magnet Goblin vënë në dukje se këta aktorë lëvizin me shpejtësi për të shfrytëzuar dobësitë e zbuluara rishtazi, ndonjëherë brenda një dite nga publikimi i një shfrytëzimi të Provës së Konceptit (PoC).
Hakerët synojnë një sërë pajisjesh dhe shërbimesh, duke përfshirë Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, -2023-41265, CVE-2023-41266, CVE-2023-48365) dhe Magento (CVE-2022-24086).
Magnet Goblin i përdor këto dobësi për të depërtuar në serverë me malware të përshtatur, si NerbianRAT dhe MiniNerbian, së bashku me një version të personalizuar të vjedhësit WARPWIRE JavaScript.
NerbianRAT mund të kryejë funksione të shumta kërcënuese
Që nga viti 2022, studiuesit kanë qenë të vetëdijshëm për NebianRAT për Windows. Sidoqoftë, ata tani zbulojnë se një variant Linux i përpiluar në mënyrë të papërpunuar por efektiv i përdorur nga Magnet Goblin ka qarkulluar që nga maji 2022.
Pas inicializimit, malware ndërmerr veprime fillestare, të tilla si mbledhja e informacionit të sistemit si koha, emri i përdoruesit dhe emri i makinës, gjenerimi i një ID bot, vendosja e një adrese IP të koduar si host kryesor dhe dytësor, krijimi i drejtorisë së punës dhe ngarkimi i një çelësi publik RSA për enkriptimin e komunikimit në rrjet.
Pas kësaj, NebianRAT ngarkon konfigurimin e tij, i cili dikton kohën e aktivitetit (kohën e punës), intervalet për komunikimin me serverin e komandës dhe kontrollit (C2) dhe parametra të tjerë.
C2 mund të lëshojë një nga disa komanda për malware për ekzekutim në sistemin e infektuar:
- Kërkoni veprime shtesë
- Ekzekutoni një komandë Linux në një thread të ri
Arnimi i shpeshtë luan një rol jetësor në parandalimin e shfrytëzimeve 1-ditore. Për më tepër, zbatimi i masave shtesë si segmentimi i rrjetit, mbrojtja e pikës fundore dhe vërtetimi me shumë faktorë mund të zvogëlojë ndikimin e shkeljeve të mundshme.
Malware suplementar ra së bashku me NebianRAT
MiniNerbian është një version i thjeshtë i NerbianRAT, i përdorur kryesisht për ekzekutimin e komandës. Funksionaliteti i tij përfshin ekzekutimin e komandave nga C2 dhe transmetimin e rezultateve, përditësimin e orareve të aktiviteteve (për ditë të plota ose orë specifike) dhe rregullimin e konfigurimeve. Ndryshe nga NerbianRAT më i ndërlikuar, MiniNerbian komunikon me C2 përmes HTTP në vend të prizave të papërpunuara TCP, duke treguar potencialisht se ai shërben si një zgjedhje për tepricë ose si një derë e pasme e fshehtë në skenarë specifikë nga Magnet Goblin.