NerbianRAT Linux మాల్వేర్

మాగ్నెట్ గోబ్లిన్ అని పిలువబడే ఒక సమూహం, ఇది ఆర్థికంగా ప్రేరేపించబడిన ముప్పు నటుడు, ప్రజలకు అందుబాటులో ఉండే సర్వర్‌లలోకి చొరబడటానికి వివిధ 1-రోజుల దుర్బలత్వాలను ఉపయోగిస్తుంది. వారు Windows మరియు Linux సిస్టమ్‌లు రెండింటినీ లక్ష్యంగా చేసుకోవడంలో ప్రత్యేకత కలిగి ఉంటారు, లక్ష్యం చేయబడిన సిస్టమ్‌లో ఒకసారి అనుకూలీకరించిన మాల్వేర్‌ను అమలు చేస్తారు. ఈ దుర్బలత్వాలు సాధారణంగా 1-రోజు లోపాలు మరియు ఇప్పటికే అందుబాటులో ఉన్న ప్యాచ్‌లతో బహిరంగంగా బహిర్గతం చేయబడిన బలహీనతలు. ఈ లోపాలను సమర్థవంతంగా ఉపయోగించుకోవడానికి, సంభావ్య లక్ష్యాలు విడుదల చేసిన భద్రతా నవీకరణలను అమలు చేయడానికి ముందు ముప్పు నటులు వేగంగా చర్య తీసుకోవాలి.

మాగ్నెట్ గోబ్లిన్ కస్టమ్ నార్బియన్‌రాట్ వేరియంట్‌ను వదలడానికి పెద్ద సంఖ్యలో దుర్బలత్వాలను ఉపయోగించుకుంటుంది

సాధారణంగా, లోపాన్ని బహిర్గతం చేసిన వెంటనే దోపిడీలు తక్షణమే అందుబాటులో ఉండవు. అయినప్పటికీ, కొన్ని దుర్బలత్వాలు సాపేక్షంగా సులువుగా ఉపయోగించబడతాయి మరియు ప్యాచ్‌ను రివర్స్-ఇంజనీరింగ్ చేయడం వల్ల అంతర్లీన సమస్య మరియు దాని దోపిడీ అంశాలను ఆవిష్కరించవచ్చు. మాగ్నెట్ గోబ్లిన్‌ను పరిశోధిస్తున్న సమాచార భద్రతా విశ్లేషకులు ఈ నటులు కొత్తగా వెల్లడించిన దుర్బలత్వాలను ఉపయోగించుకోవడానికి వేగంగా కదులుతారని గమనించారు, కొన్నిసార్లు ప్రూఫ్ ఆఫ్ కాన్సెప్ట్ (PoC) దోపిడీ విడుదలైన ఒక రోజులోపు.

హ్యాకర్లు Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise (QVEConnectWise), వంటి అనేక రకాల పరికరాలు మరియు సేవలను లక్ష్యంగా చేసుకున్నారు. -2023-41265, CVE-2023-41266, CVE-2023-48365) మరియు Magento (CVE-2022-24086).

WARPWIRE జావాస్క్రిప్ట్ స్టీలర్ యొక్క అనుకూలీకరించిన వెర్షన్‌తో పాటుగా నార్బియన్‌రాట్ మరియు మినీనెర్బియన్ వంటి అనుకూలమైన మాల్వేర్‌లతో సర్వర్‌లలోకి చొరబడేందుకు మాగ్నెట్ గోబ్లిన్ ఈ దుర్బలత్వాలను ఉపయోగించుకుంటుంది.

NerbianRAT అనేక బెదిరింపు విధులను నిర్వహించగలదు

2022 నుండి, పరిశోధకులకు Windows కోసం NerbianRAT గురించి తెలుసు. అయినప్పటికీ, మాగ్నెట్ గోబ్లిన్ ఉపయోగించిన క్రూడ్‌గా కంపైల్ చేయబడిన ఇంకా ప్రభావవంతమైన Linux వేరియంట్ మే 2022 నుండి చెలామణిలో ఉందని వారు ఇప్పుడు వెల్లడించారు.

ప్రారంభించిన తర్వాత, మాల్వేర్ సమయం, వినియోగదారు పేరు మరియు మెషీన్ పేరు వంటి సిస్టమ్ సమాచారాన్ని సేకరించడం, బాట్ IDని రూపొందించడం, హార్డ్‌కోడ్ చేసిన IP చిరునామాను ప్రైమరీ మరియు సెకండరీ హోస్ట్‌లుగా సెట్ చేయడం, వర్కింగ్ డైరెక్టరీని స్థాపించడం మరియు పబ్లిక్ RSA కీని లోడ్ చేయడం వంటి ప్రారంభ చర్యలను చేపడుతుంది. నెట్‌వర్క్ కమ్యూనికేషన్‌ను గుప్తీకరించడానికి.

దీనిని అనుసరించి, NerbianRAT దాని కాన్ఫిగరేషన్‌ను లోడ్ చేస్తుంది, ఇది కార్యాచరణ సమయాలు (పని సమయం), కమాండ్ మరియు కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేషన్ కోసం విరామాలు మరియు ఇతర పారామితులను నిర్దేశిస్తుంది.

C2 సోకిన సిస్టమ్‌పై అమలు కోసం మాల్వేర్‌కు అనేక ఆదేశాలలో ఒకదాన్ని జారీ చేయవచ్చు:

• అదనపు చర్యలను అభ్యర్థించండి
• కొత్త థ్రెడ్‌లో Linux ఆదేశాన్ని అమలు చేయండి

1-రోజు దోపిడీలను నివారించడంలో తరచుగా పాచింగ్ కీలక పాత్ర పోషిస్తుంది. అంతేకాకుండా, నెట్‌వర్క్ సెగ్మెంటేషన్, ఎండ్‌పాయింట్ ప్రొటెక్షన్ మరియు బహుళ-కారకాల ప్రమాణీకరణ వంటి అదనపు చర్యలను అమలు చేయడం వల్ల సంభావ్య ఉల్లంఘనల ప్రభావాన్ని తగ్గించవచ్చు.

నార్బియన్‌రాట్‌తో పాటు అనుబంధ మాల్వేర్ పడిపోయింది

మినీ నార్బియన్ అనేది నార్బియన్‌రాట్ యొక్క స్ట్రీమ్‌లైన్డ్ వెర్షన్, ఇది ప్రధానంగా కమాండ్ ఎగ్జిక్యూషన్ కోసం ఉపయోగించబడుతుంది. దీని కార్యాచరణ C2 నుండి ఆదేశాలను అమలు చేయడం మరియు ఫలితాలను ప్రసారం చేయడం, కార్యాచరణ షెడ్యూల్‌లను (పూర్తి రోజులు లేదా నిర్దిష్ట గంటల కోసం) నవీకరించడం మరియు కాన్ఫిగరేషన్‌లను సర్దుబాటు చేయడం వంటివి కలిగి ఉంటుంది. మరింత క్లిష్టమైన NerbianRAT వలె కాకుండా, MiniNerbian ముడి TCP సాకెట్‌లకు బదులుగా HTTP ద్వారా C2తో కమ్యూనికేట్ చేస్తుంది, ఇది మాగ్నెట్ గోబ్లిన్ ద్వారా రిడెండెన్సీకి ఎంపికగా లేదా రహస్య బ్యాక్‌డోర్‌గా ఉపయోగపడుతుందని సూచిస్తుంది.