НербианРАТ Линук малвер
Група позната као Магнет Гоблин, која је финансијски мотивисан актер претњи, користи различите једнодневне рањивости да би се инфилтрирала на сервере доступне јавности. Специјализовани су за циљање и Виндовс и Линук система, постављајући прилагођени малвер једном унутар циљаног система. Ове рањивости су обично једнодневне мане и слабости које су јавно откривене са већ доступним закрпама. Да би ефикасно искористили ове недостатке, актери претњи морају да делују брзо пре него што потенцијални циљеви могу да примене објављена безбедносна ажурирања.
Преглед садржаја
Магнет Гоблин искориштава велики број рањивости како би избацио прилагођену НербианРАТ варијанту
Типично, експлоатације нису лако доступне одмах након откривања грешке. Међутим, одређене рањивости је релативно лако искористити, а обрнути инжењеринг закрпе може открити основни проблем и његове аспекте који се могу искористити. Аналитичари за безбедност информација који су истраживали Магнет Гоблин примећују да се ови актери брзо крећу да искористе новооткривене рањивости, понекад у року од једног дана од објављивања експлоатације Прооф оф Цонцепт (ПоЦ).
Хакери циљају низ уређаја и услуга, укључујући Иванти Цоннецт Сецуре (ЦВЕ-2023-46805, ЦВЕ-2024-21887, ЦВЕ-2024-21888, ЦВЕ-2024-21893), Апацхе АцтивеМК, ЦоннецтВисе СцреенЦоннецт, Клик Сенсе (ЦВЕ -2023-41265, ЦВЕ-2023-41266, ЦВЕ-2023-48365) и Магенто (ЦВЕ-2022-24086).
Магнет Гоблин користи ове рањивости да инфилтрира сервере са прилагођеним малвером, као што су НербианРАТ и МиниНербиан, заједно са прилагођеном верзијом ВАРПВИРЕ ЈаваСцрипт крадљиваца.
НербианРАТ може да обавља бројне претеће функције
Од 2022. истраживачи су били свесни НербианРАТ за Виндовс. Међутим, они сада откривају да грубо компајлирана, али ефикасна Линук варијанта коју користи Магнет Гоблин кружи од маја 2022.
Након иницијализације, малвер предузима почетне радње, као што је прикупљање системских информација као што су време, корисничко име и име машине, генерисање ИД-а бота, постављање тврдокодиране ИП адресе као примарног и секундарног хоста, успостављање радног директоријума и учитавање јавног РСА кључа за шифровање мрежне комуникације.
Након тога, НербианРАТ учитава своју конфигурацију, која диктира време активности (радно време), интервале за комуникацију са командним и контролним (Ц2) сервером и друге параметре.
Ц2 може издати једну од неколико команди малверу за извршење на зараженом систему:
- Захтевајте додатне радње
- Извршите Линук команду у новој нити
Често закрпе играју виталну улогу у спречавању једнодневних експлоатација. Штавише, примена додатних мера као што су сегментација мреже, заштита крајњих тачака и вишефакторска аутентификација може смањити утицај потенцијалних кршења.
Додатни злонамерни софтвер испао је поред НербианРАТ-а
МиниНербиан је поједностављена верзија НербианРАТ-а, која се претежно користи за извршавање команди. Његова функционалност обухвата извршавање команди из Ц2 и преношење резултата, ажурирање распореда активности (за пуне дане или одређене сате) и подешавање конфигурација. За разлику од сложенијег НербианРАТ-а, МиниНербиан комуницира са Ц2 преко ХТТП-а уместо сирових ТЦП сокета, што потенцијално указује да служи као избор за редундантност или као прикривена позадинска врата у специфичним сценаријима Магнет Гоблина.