NerbianRAT Linux Malware
Ang isang grupo na kilala bilang Magnet Goblin, na isang financially motivated threat actor, ay gumagamit ng iba't ibang 1-araw na kahinaan upang makalusot sa mga server na naa-access ng publiko. Dalubhasa sila sa pag-target sa parehong Windows at Linux system, na nagde-deploy ng customized na malware sa sandaling nasa loob ng targeted system. Ang mga kahinaan na ito ay karaniwang 1 araw na mga depekto at mga kahinaan na ibinunyag sa publiko na may mga patch na available na. Upang epektibong mapagsamantalahan ang mga kapintasan na ito, ang mga aktor ng pagbabanta ay dapat kumilos nang mabilis bago maipatupad ng mga potensyal na target ang inilabas na mga update sa seguridad.
Talaan ng mga Nilalaman
Pinagsasamantalahan ng Magnet Goblin ang Malaking Bilang ng Mga Kahinaan para Mag-drop ng Custom na Variant ng NerbianRAT
Karaniwan, ang mga pagsasamantala ay hindi madaling ma-access kaagad sa pagsisiwalat ng isang depekto. Gayunpaman, ang ilang mga kahinaan ay medyo madaling pagsamantalahan, at ang pag-reverse-engineering ng patch ay maaaring magbunyag ng pinagbabatayan na isyu at ang mga nasasamantalang aspeto nito. Ang mga analyst ng seguridad ng impormasyon na nagsasaliksik sa Magnet Goblin ay nagpapansin na ang mga aktor na ito ay mabilis na gumagalaw upang pagsamantalahan ang mga bagong ibinunyag na kahinaan, kung minsan sa loob ng isang araw ng paglabas ng isang pagsasamantalang Proof of Concept (PoC).
Tina-target ng mga hacker ang isang hanay ng mga device at serbisyo, kabilang ang Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) at Magento (CVE-2022-24086).
Ginagamit ng Magnet Goblin ang mga kahinaang ito upang makalusot sa mga server na may iniangkop na malware, gaya ng NerbianRAT at MiniNerbian, kasama ang isang naka-customize na bersyon ng WARPWIRE JavaScript stealer.
Ang NerbianRAT ay maaaring Magsagawa ng Maraming Mga Pagbabantang Paggana
Mula noong 2022, alam ng mga mananaliksik ang NerbianRAT para sa Windows. Gayunpaman, ibinunyag nila ngayon na ang isang malupit na pinagsama-sama ngunit epektibong variant ng Linux na ginamit ng Magnet Goblin ay umiikot mula noong Mayo 2022.
Sa pagsisimula, ang malware ay nagsasagawa ng mga paunang aksyon, tulad ng pangangalap ng impormasyon ng system tulad ng oras, username, at pangalan ng machine, pagbuo ng bot ID, pagtatakda ng hardcoded IP address bilang pangunahin at pangalawang host, pagtatatag ng gumaganang direktoryo, at pag-load ng pampublikong RSA key para sa pag-encrypt ng komunikasyon sa network.
Kasunod nito, nilo-load ng NerbianRAT ang configuration nito, na nagdidikta ng mga oras ng aktibidad (oras ng trabaho), mga agwat para sa komunikasyon sa server ng command at control (C2), at iba pang mga parameter.
Ang C2 ay maaaring mag-isyu ng isa sa ilang mga utos sa malware para sa pagpapatupad sa nahawaang system:
- Humiling ng mga karagdagang aksyon
- Magsagawa ng Linux command sa isang bagong thread
Ang madalas na pag-patch ay gumaganap ng isang mahalagang papel sa pagpigil sa 1-araw na pagsasamantala. Bukod dito, ang pagpapatupad ng mga karagdagang hakbang tulad ng network segmentation, endpoint protection, at multi-factor authentication ay maaaring mabawasan ang epekto ng mga potensyal na paglabag.
Ang Karagdagang Malware ay Bumagsak Kasabay ng NerbianRAT
Ang MiniNerbian ay isang streamline na bersyon ng NerbianRAT, na pangunahing ginagamit para sa pagpapatupad ng command. Ang functionality nito ay sumasaklaw sa pagpapatupad ng mga command mula sa C2 at pagpapadala ng mga resulta, pag-update ng mga iskedyul ng aktibidad (para sa buong araw o partikular na oras), at pagsasaayos ng mga configuration. Hindi tulad ng mas masalimuot na NerbianRAT, nakikipag-ugnayan ang MiniNerbian sa C2 sa pamamagitan ng HTTP sa halip na mga hilaw na TCP socket, na posibleng nagsasaad na ito ay nagsisilbing pagpipilian para sa redundancy o bilang isang tago na backdoor sa mga partikular na sitwasyon ng Magnet Goblin.