Шкідливе програмне забезпечення NerbianRAT Linux
Група, відома як Magnet Goblin, яка є фінансово мотивованою загрозою, використовує різні одноденні вразливості, щоб проникнути на загальнодоступні сервери. Вони спеціалізуються на націленні як на системи Windows, так і на Linux, розгортаючи налаштоване шкідливе програмне забезпечення в цільовій системі. Зазвичай ці вразливості є недоліками, які виникли протягом одного дня, і є слабкими сторонами, про які публічно розголошено з уже доступними виправленнями. Щоб ефективно використовувати ці недоліки, зловмисники повинні діяти швидко, перш ніж потенційні цілі зможуть застосувати випущені оновлення безпеки.
Зміст
Magnet Goblin використовує велику кількість вразливостей, щоб позбутися спеціального варіанту NerbianRAT
Як правило, експлойти не є легкодоступними відразу після виявлення недоліку. Однак певні вразливості відносно легко використати, і реверсивне проектування виправлення може виявити основну проблему та її аспекти, які можна використовувати. Аналітики інформаційної безпеки, які досліджували Magnet Goblin, відзначають, що ці суб’єкти швидко використовують нещодавно виявлені вразливості, іноді протягом дня після випуску експлойту Proof of Concept (PoC).
Хакери націлені на ряд пристроїв і служб, включаючи Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) і Magento (CVE-2022-24086).
Magnet Goblin використовує ці вразливості для проникнення на сервери спеціалізованого зловмисного програмного забезпечення, такого як NerbianRAT і MiniNerbian, а також налаштованої версії викрадача JavaScript WARPWIRE.
NerbianRAT може виконувати численні загрозливі функції
З 2022 року дослідники знають про NerbianRAT для Windows. Однак тепер вони показують, що грубо скомпільований, але ефективний варіант Linux, який використовує Magnet Goblin, циркулює з травня 2022 року.
Після ініціалізації зловмисне програмне забезпечення виконує початкові дії, такі як збір системної інформації, як-от час, ім’я користувача та ім’я машини, генерація ідентифікатора бота, встановлення жорстко закодованої IP-адреси як основного та додаткового хостів, створення робочого каталогу та завантаження відкритого ключа RSA для шифрування мережевого зв’язку.
Після цього NerbianRAT завантажує свою конфігурацію, яка диктує час активності (робочий час), інтервали для зв’язку з сервером керування (C2) та інші параметри.
C2 може видати одну з кількох команд шкідливому програмному забезпеченню для виконання в зараженій системі:
- Запит на додаткові дії
- Виконайте команду Linux у новому потоці
Часте встановлення виправлень відіграє важливу роль у запобіганні одноденним експлойтам. Крім того, впровадження додаткових заходів, таких як сегментація мережі, захист кінцевих точок і багатофакторна автентифікація, може зменшити вплив потенційних порушень.
Додаткове зловмисне програмне забезпечення випало разом із NerbianRAT
MiniNerbian — це спрощена версія NerbianRAT, яка переважно використовується для виконання команд. Його функціональні можливості охоплюють виконання команд із C2 і передачу результатів, оновлення розкладів активності (для повних днів або певних годин) і налаштування конфігурацій. На відміну від більш складного NerbianRAT, MiniNerbian спілкується з C2 через HTTP замість необроблених TCP-сокетів, потенційно вказуючи на те, що він слугує вибором для резервування або як прихований бекдор у конкретних сценаріях Magnet Goblin.