มัลแวร์ NerbianRAT Linux

กลุ่มที่รู้จักกันในชื่อ Magnet Goblin ซึ่งเป็นผู้คุกคามที่มีแรงจูงใจทางการเงิน ใช้ช่องโหว่ 1 วันต่างๆ เพื่อแทรกซึมเข้าไปในเซิร์ฟเวอร์ที่สาธารณชนสามารถเข้าถึงได้ พวกเขาเชี่ยวชาญในการกำหนดเป้าหมายทั้งระบบ Windows และ Linux โดยปรับใช้มัลแวร์ที่ปรับแต่งเองเมื่ออยู่ในระบบเป้าหมาย ช่องโหว่เหล่านี้มักเป็นข้อบกพร่องภายใน 1 วันและเป็นจุดอ่อนที่ได้รับการเปิดเผยต่อสาธารณะพร้อมกับแพทช์ที่พร้อมใช้งานแล้ว เพื่อใช้ประโยชน์จากข้อบกพร่องเหล่านี้อย่างมีประสิทธิภาพ ผู้คุกคามจะต้องดำเนินการอย่างรวดเร็วก่อนที่เป้าหมายที่เป็นไปได้จะสามารถใช้การอัปเดตความปลอดภัยที่เผยแพร่ได้

Magnet Goblin ใช้ประโยชน์จากช่องโหว่จำนวนมากเพื่อทิ้งตัวแปร NerbianRAT แบบกำหนดเอง

โดยทั่วไปแล้ว การหาประโยชน์จะไม่สามารถเข้าถึงได้ทันทีเมื่อมีการเปิดเผยข้อบกพร่อง อย่างไรก็ตาม ช่องโหว่บางอย่างนั้นค่อนข้างง่ายต่อการหาประโยชน์ และการวิศวกรรมย้อนกลับของแพตช์สามารถเปิดเผยปัญหาที่ซ่อนอยู่และแง่มุมที่สามารถหาประโยชน์ได้ นักวิเคราะห์ความปลอดภัยของข้อมูลที่กำลังค้นคว้า Magnet Goblin สังเกตว่าผู้ดำเนินการเหล่านี้ดำเนินการอย่างรวดเร็วเพื่อใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผย บางครั้งภายในหนึ่งวันนับจากวันที่ช่องโหว่ Proof of Concept (PoC) ได้รับการเผยแพร่

แฮกเกอร์กำหนดเป้าหมายอุปกรณ์และบริการต่างๆ รวมถึง Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) และวีโอไอพี (CVE-2022-24086)

Magnet Goblin ใช้ช่องโหว่เหล่านี้เพื่อแทรกซึมเซิร์ฟเวอร์ด้วยมัลแวร์ที่ได้รับการปรับแต่ง เช่น NerbianRAT และ MiniNerbian พร้อมด้วยตัวขโมย JavaScript WARPWIRE เวอร์ชันที่ปรับแต่งเอง

NerbianRAT สามารถทำหน้าที่คุกคามได้มากมาย

ตั้งแต่ปี 2022 นักวิจัยได้รู้จัก NerbianRAT สำหรับ Windows อย่างไรก็ตาม ตอนนี้พวกเขาเปิดเผยว่าเวอร์ชัน Linux ที่รวบรวมอย่างหยาบแต่มีประสิทธิภาพซึ่งใช้โดย Magnet Goblin นั้นมีการเผยแพร่ตั้งแต่เดือนพฤษภาคม 2022

เมื่อเริ่มต้น มัลแวร์จะดำเนินการเบื้องต้น เช่น การรวบรวมข้อมูลระบบ เช่น เวลา ชื่อผู้ใช้ และชื่อเครื่อง การสร้าง ID บอท การตั้งค่าที่อยู่ IP แบบฮาร์ดโค้ดเป็นโฮสต์หลักและรอง การสร้างไดเร็กทอรีการทำงาน และการโหลดคีย์ RSA สาธารณะ สำหรับการเข้ารหัสการสื่อสารเครือข่าย

ต่อไปนี้ NerbianRAT จะโหลดการกำหนดค่า ซึ่งจะกำหนดเวลากิจกรรม (เวลาทำงาน) ช่วงเวลาสำหรับการสื่อสารกับเซิร์ฟเวอร์ command and control (C2) และพารามิเตอร์อื่นๆ

C2 อาจออกคำสั่งใดคำสั่งหนึ่งไปยังมัลแวร์เพื่อดำเนินการกับระบบที่ติดไวรัส:

• ร้องขอการดำเนินการเพิ่มเติม
• ดำเนินการคำสั่ง Linux ในเธรดใหม่

การแพตช์บ่อยครั้งมีบทบาทสำคัญในการป้องกันการหาช่องโหว่ใน 1 วัน นอกจากนี้ การใช้มาตรการเพิ่มเติม เช่น การแบ่งส่วนเครือข่าย การป้องกันอุปกรณ์ปลายทาง และการตรวจสอบสิทธิ์แบบหลายปัจจัย สามารถลดผลกระทบของการละเมิดที่อาจเกิดขึ้นได้

มัลแวร์เสริมลดลงพร้อมกับ NerbianRAT

MiniNerbian เป็นเวอร์ชันปรับปรุงของ NerbianRAT ซึ่งส่วนใหญ่ใช้สำหรับการดำเนินการตามคำสั่ง ฟังก์ชันการทำงานครอบคลุมการดำเนินการคำสั่งจาก C2 และการส่งผลลัพธ์ การอัปเดตตารางกิจกรรม (สำหรับวันเต็มหรือชั่วโมงที่ระบุ) และการปรับการกำหนดค่า แตกต่างจาก NerbianRAT ที่ซับซ้อนกว่า MiniNerbian สื่อสารกับ C2 ผ่าน HTTP แทนซ็อกเก็ต TCP แบบดิบ ซึ่งอาจบ่งชี้ว่ามันทำหน้าที่เป็นตัวเลือกสำหรับความซ้ำซ้อนหรือเป็นแบ็คดอร์แอบแฝงในสถานการณ์เฉพาะโดย Magnet Goblin