NerbianRAT Linux Malware
En grupp känd som Magnet Goblin, som är en ekonomiskt motiverad hotaktör, använder olika 1-dags sårbarheter för att infiltrera servrar som är tillgängliga för allmänheten. De är specialiserade på att rikta in sig på både Windows- och Linux-system och distribuera anpassad skadlig programvara en gång inuti det riktade systemet. Dessa sårbarheter är vanligtvis 1-dagars brister och är svagheter som har avslöjats offentligt med patchar som redan är tillgängliga. För att effektivt utnyttja dessa brister måste hotaktörer agera snabbt innan potentiella mål kan implementera de släppta säkerhetsuppdateringarna.
Innehållsförteckning
Magnet Goblin utnyttjar ett stort antal sårbarheter för att släppa en anpassad NerbianRAT-variant
Vanligtvis är exploateringar inte lättillgängliga omedelbart efter avslöjandet av ett fel. Vissa sårbarheter är dock relativt lätta att utnyttja, och omvänd konstruktion av patchen kan avslöja det underliggande problemet och dess exploateringsbara aspekter. Informationssäkerhetsanalytiker som har undersökt Magnet Goblin noterar att dessa aktörer snabbt går för att utnyttja nyligen avslöjade sårbarheter, ibland inom en dag efter att en Proof of Concept (PoC) exploatering släpptes.
Hackarna riktar sig till en rad enheter och tjänster, inklusive Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) och Magento (CVE-2022-24086).
Magnet Goblin använder dessa sårbarheter för att infiltrera servrar med skräddarsydd skadlig programvara, såsom NerbianRAT och MiniNerbian, tillsammans med en anpassad version av WARPWIRE JavaScript-stjuver.
NerbianRAT kan utföra många hotfulla funktioner
Sedan 2022 har forskare varit medvetna om NerbianRAT för Windows. Men de avslöjar nu att en grovt sammanställd men ändå effektiv Linux-variant som används av Magnet Goblin har cirkulerat sedan maj 2022.
Vid initiering utför den skadliga programvaran initiala åtgärder, såsom att samla in systeminformation som tid, användarnamn och maskinnamn, generera ett bot-ID, ställa in en hårdkodad IP-adress som primära och sekundära värdar, upprätta arbetskatalogen och ladda en offentlig RSA-nyckel för kryptering av nätverkskommunikation.
Efter detta laddar NerbianRAT sin konfiguration, som dikterar aktivitetstider (arbetstid), intervaller för kommunikation med kommando- och kontrollservern (C2) och andra parametrar.
C2 kan utfärda ett av flera kommandon till skadlig programvara för exekvering på det infekterade systemet:
- Begär ytterligare åtgärder
- Kör ett Linux-kommando i en ny tråd
Frekvent patchning spelar en viktig roll för att förhindra 1-dags exploits. Dessutom kan implementering av ytterligare åtgärder som nätverkssegmentering, slutpunktsskydd och multifaktorautentisering minska effekten av potentiella överträdelser.
Den kompletterande skadliga programvaran släpptes vid sidan av NerbianRAT
MiniNerbian är en strömlinjeformad version av NerbianRAT, som främst används för att köra kommandon. Dess funktionalitet omfattar exekvering av kommandon från C2 och sändning av resultat, uppdatering av aktivitetsscheman (för hela dagar eller specifika timmar) och justering av konfigurationer. Till skillnad från den mer intrikata NerbianRAT kommunicerar MiniNerbian med C2 via HTTP istället för råa TCP-sockets, vilket potentiellt indikerar att den fungerar som ett val för redundans eller som en hemlig bakdörr i specifika scenarier av Magnet Goblin.