NerbianRAT Linux Kötü Amaçlı Yazılımı
Finansal motivasyona sahip bir tehdit aktörü olan ve Magnet Goblin olarak bilinen bir grup, halka açık sunuculara sızmak için 1 günlük çeşitli güvenlik açıklarından yararlanıyor. Hem Windows hem de Linux sistemlerini hedeflemede, özelleştirilmiş kötü amaçlı yazılımları hedeflenen sistemin içine yerleştirmede uzmanlaşmıştır. Bu güvenlik açıkları genellikle 1 günlük kusurlardır ve halihazırda mevcut olan yamalarla kamuya açıklanan zayıflıklardır. Bu kusurlardan etkili bir şekilde yararlanmak için tehdit aktörlerinin, potansiyel hedeflerin yayınlanan güvenlik güncellemelerini uygulayabilmesi için hızlı hareket etmesi gerekiyor.
İçindekiler
Magnet Goblin, Özel Bir NerbianRAT Varyantını Düşürmek İçin Çok Sayıda Güvenlik Açıklarından Yararlanıyor
Tipik olarak, bir kusurun açığa çıkması üzerine istismarlara hemen erişilemez. Bununla birlikte, bazı güvenlik açıklarının istismar edilmesi nispeten kolaydır ve yamada tersine mühendislik yapılması, altta yatan sorunu ve onun istismar edilebilir yönlerini ortaya çıkarabilir. Magnet Goblin'i araştıran bilgi güvenliği analistleri, bu aktörlerin, bazen Kavram Kanıtı (PoC) istismarının yayınlanmasından sonraki bir gün içinde, yeni ortaya çıkan güvenlik açıklarından hızla yararlanmaya yöneldiğini belirtiyor.
Bilgisayar korsanları, Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE) dahil olmak üzere bir dizi cihazı ve hizmeti hedef alıyor -2023-41265, CVE-2023-41266, CVE-2023-48365) ve Magento (CVE-2022-24086).
Magnet Goblin, NerbianRAT ve MiniNerbian gibi özel kötü amaçlı yazılımların yanı sıra WARPWIRE JavaScript hırsızının özelleştirilmiş bir sürümünün bulunduğu sunuculara sızmak için bu güvenlik açıklarından yararlanıyor.
NerbianRAT Çok Sayıda Tehdit İşlevi Gerçekleştirebilir
Araştırmacılar 2022'den beri Windows için NerbianRAT'ın farkındalar. Ancak şimdi, Magnet Goblin tarafından kullanılan kabaca derlenmiş ancak etkili bir Linux versiyonunun Mayıs 2022'den bu yana dolaşımda olduğunu ortaya koyuyorlar.
Kötü amaçlı yazılım, başlatıldıktan sonra zaman, kullanıcı adı ve makine adı gibi sistem bilgilerini toplamak, bir bot kimliği oluşturmak, birincil ve ikincil ana bilgisayarlar olarak sabit kodlu bir IP adresi ayarlamak, çalışma dizinini oluşturmak ve genel bir RSA anahtarı yüklemek gibi ilk eylemleri gerçekleştirir. ağ iletişimini şifrelemek için.
Bunu takiben NerbianRAT, aktivite sürelerini (çalışma süresini), komuta ve kontrol (C2) sunucusuyla iletişim aralıklarını ve diğer parametreleri belirleyen konfigürasyonunu yükler.
C2, etkilenen sistemde yürütülmesi için kötü amaçlı yazılıma çeşitli komutlardan birini verebilir:
- Ek işlemler isteyin
- Yeni bir iş parçacığında bir Linux komutunu yürütün
Sık yama uygulanması, 1 günlük açıklardan yararlanmaların önlenmesinde hayati bir rol oynar. Ayrıca ağ bölümlendirme, uç nokta koruması ve çok faktörlü kimlik doğrulama gibi ek önlemlerin uygulanması potansiyel ihlallerin etkisini azaltabilir.
Tamamlayıcı Kötü Amaçlı Yazılım NerbianRAT'ın Yanında Düştü
MiniNerbian, ağırlıklı olarak komut yürütme için kullanılan, NerbianRAT'ın geliştirilmiş bir sürümüdür. İşlevselliği, C2'den komutların yürütülmesini ve sonuçların iletilmesini, etkinlik programlarının güncellenmesini (tam günler veya belirli saatler için) ve yapılandırmaların ayarlanmasını kapsar. Daha karmaşık NerbianRAT'tan farklı olarak MiniNerbian, ham TCP soketleri yerine C2 ile HTTP aracılığıyla iletişim kurar; bu da potansiyel olarak Magnet Goblin'in belirli senaryolarında yedeklilik için bir seçenek veya gizli bir arka kapı olarak hizmet ettiğini gösterir.