NerbianRAT லினக்ஸ் மால்வேர்

மேக்னட் கோப்ளின் என்று அழைக்கப்படும் ஒரு குழு, இது நிதி ரீதியாக ஊக்கமளிக்கும் அச்சுறுத்தல் நடிகராக உள்ளது, பொதுமக்களுக்கு அணுகக்கூடிய சேவையகங்களில் ஊடுருவ பல்வேறு 1-நாள் பாதிப்புகளைப் பயன்படுத்துகிறது. அவர்கள் விண்டோஸ் மற்றும் லினக்ஸ் சிஸ்டம் இரண்டையும் குறிவைப்பதில் நிபுணத்துவம் பெற்றவர்கள், இலக்கு அமைப்புக்குள் தனிப்பயனாக்கப்பட்ட தீம்பொருளை ஒருமுறை பயன்படுத்துகின்றனர். இந்த பாதிப்புகள் பொதுவாக 1-நாள் குறைபாடுகள் மற்றும் ஏற்கனவே உள்ள இணைப்புகளுடன் பகிரங்கமாக வெளிப்படுத்தப்பட்ட பலவீனங்களாகும். இந்த குறைபாடுகளை திறம்பட பயன்படுத்த, சாத்தியமான இலக்குகள் வெளியிடப்பட்ட பாதுகாப்பு புதுப்பிப்புகளை செயல்படுத்தும் முன் அச்சுறுத்தல் நடிகர்கள் விரைவாக செயல்பட வேண்டும்.

காந்த பூதம் ஒரு தனிப்பயன் NerbianRAT மாறுபாட்டை கைவிட அதிக எண்ணிக்கையிலான பாதிப்புகளை பயன்படுத்துகிறது

பொதுவாக, சுரண்டல்கள் ஒரு குறையை வெளிப்படுத்தியவுடன் உடனடியாக அணுக முடியாது. இருப்பினும், சில பாதிப்புகளை சுரண்டுவது ஒப்பீட்டளவில் எளிதானது, மேலும் பேட்சைத் தலைகீழ் பொறியியல் செய்வது அடிப்படை சிக்கலையும் அதன் சுரண்டக்கூடிய அம்சங்களையும் வெளிப்படுத்தும். மேக்னட் கோப்ளின் பற்றி ஆராய்ச்சி செய்து வரும் தகவல் பாதுகாப்பு ஆய்வாளர்கள், இந்த நடிகர்கள் புதிதாக வெளிப்படுத்தப்பட்ட பாதிப்புகளைப் பயன்படுத்திக் கொள்ள விரைவாக நகர்கிறார்கள், சில சமயங்களில் கருத்துச் சான்று (PoC) சுரண்டல் வெளியான ஒரு நாளுக்குள்.

ஹேக்கர்கள் Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise (QVEConnectWise), உள்ளிட்ட பல்வேறு சாதனங்கள் மற்றும் சேவைகளை குறிவைக்கின்றனர். -2023-41265, CVE-2023-41266, CVE-2023-48365) மற்றும் Magento (CVE-2022-24086).

WARPWIRE ஜாவாஸ்கிரிப்ட் திருடரின் தனிப்பயனாக்கப்பட்ட பதிப்போடு, NerbianRAT மற்றும் MiniNerbian போன்ற வடிவமைக்கப்பட்ட தீம்பொருளைக் கொண்டு சேவையகங்களில் ஊடுருவ, இந்த பாதிப்புகளை Magnet Goblin பயன்படுத்துகிறது.

NerbianRAT பல அச்சுறுத்தும் செயல்பாடுகளைச் செய்ய முடியும்

2022 ஆம் ஆண்டு முதல், விண்டோஸிற்கான NerbianRAT பற்றி ஆராய்ச்சியாளர்கள் அறிந்திருக்கிறார்கள். இருப்பினும், மேக்னட் கோப்ளினால் பயன்படுத்தப்பட்ட கச்சா முறையில் தொகுக்கப்பட்ட மற்றும் பயனுள்ள லினக்ஸ் மாறுபாடு மே 2022 முதல் புழக்கத்தில் உள்ளது என்பதை அவர்கள் இப்போது வெளிப்படுத்துகிறார்கள்.

துவக்கத்தில், தீம்பொருள் நேரம், பயனர்பெயர் மற்றும் இயந்திரப் பெயர் போன்ற கணினித் தகவலைச் சேகரித்தல், ஒரு போட் ஐடியை உருவாக்குதல், ஹார்ட்கோட் செய்யப்பட்ட IP முகவரியை முதன்மை மற்றும் இரண்டாம் நிலை ஹோஸ்ட்களாக அமைத்தல், வேலை செய்யும் கோப்பகத்தை நிறுவுதல் மற்றும் பொது RSA விசையை ஏற்றுதல் போன்ற ஆரம்ப நடவடிக்கைகளை மேற்கொள்கிறது. பிணைய தொடர்புகளை குறியாக்குவதற்கு.

இதைத் தொடர்ந்து, NerbianRAT அதன் உள்ளமைவை ஏற்றுகிறது, இது செயல்பாட்டு நேரங்கள் (வேலை நேரம்), கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்புகொள்வதற்கான இடைவெளிகள் மற்றும் பிற அளவுருக்கள் ஆகியவற்றை ஆணையிடுகிறது.

பாதிக்கப்பட்ட கணினியில் செயல்படுத்துவதற்கு மால்வேருக்கு C2 பல கட்டளைகளில் ஒன்றை வழங்கலாம்:

• கூடுதல் நடவடிக்கைகளைக் கோரவும்
• புதிய தொடரிழையில் லினக்ஸ் கட்டளையை இயக்கவும்

1 நாள் சுரண்டல்களைத் தடுப்பதில் அடிக்கடி ஒட்டுதல் முக்கியப் பங்கு வகிக்கிறது. மேலும், நெட்வொர்க் பிரிவு, இறுதிப்புள்ளி பாதுகாப்பு மற்றும் பல காரணி அங்கீகாரம் போன்ற கூடுதல் நடவடிக்கைகளை செயல்படுத்துவது சாத்தியமான மீறல்களின் தாக்கத்தை குறைக்கலாம்.

NerbianRAT உடன் துணை மால்வேர் கைவிடப்பட்டது

மினிநேர்பியன் என்பது NerbianRAT இன் நெறிப்படுத்தப்பட்ட பதிப்பாகும், இது முக்கியமாக கட்டளை செயல்படுத்தலுக்குப் பயன்படுத்தப்படுகிறது. அதன் செயல்பாடு C2 இலிருந்து கட்டளைகளை செயல்படுத்துதல் மற்றும் முடிவுகளை அனுப்புதல், செயல்பாட்டு அட்டவணைகளை (முழு நாட்கள் அல்லது குறிப்பிட்ட மணிநேரங்களுக்கு) புதுப்பித்தல் மற்றும் உள்ளமைவுகளை சரிசெய்தல் ஆகியவற்றை உள்ளடக்கியது. மிகவும் சிக்கலான நெர்பியன்ராட் போலல்லாமல், மினிநெர்பியன் C2 உடன் கச்சா TCP சாக்கெட்டுகளுக்குப் பதிலாக HTTP மூலம் தொடர்பு கொள்கிறது, இது மேக்னட் கோப்ளின் குறிப்பிட்ட சூழ்நிலைகளில் பணிநீக்கத்திற்கான ஒரு தேர்வாக அல்லது ஒரு மறைவான பின்கதவாகச் செயல்படும் என்பதைக் குறிக்கிறது.