Phần mềm độc hại NerbianRAT Linux

Một nhóm được gọi là Magnet Goblin, là một nhóm đe dọa có động cơ tài chính, sử dụng nhiều lỗ hổng khác nhau trong 1 ngày để xâm nhập vào các máy chủ mà công chúng có thể truy cập. Họ chuyên nhắm mục tiêu vào cả hệ thống Windows và Linux, triển khai phần mềm độc hại tùy chỉnh một lần bên trong hệ thống được nhắm mục tiêu. Những lỗ hổng này thường là lỗ hổng 1 ngày và là điểm yếu đã được tiết lộ công khai cùng với các bản vá đã có sẵn. Để khai thác hiệu quả những lỗ hổng này, các tác nhân đe dọa phải hành động nhanh chóng trước khi các mục tiêu tiềm năng có thể triển khai các bản cập nhật bảo mật đã phát hành.

Magnet Goblin khai thác một số lượng lớn các lỗ hổng để thả một biến thể NerbianRAT tùy chỉnh

Thông thường, việc khai thác không thể truy cập ngay lập tức khi lỗ hổng được phát hiện. Tuy nhiên, một số lỗ hổng nhất định tương đối dễ khai thác và việc đảo ngược bản vá có thể tiết lộ vấn đề cơ bản cũng như các khía cạnh có thể khai thác của nó. Các nhà phân tích bảo mật thông tin đang nghiên cứu Magnet Goblin lưu ý rằng những kẻ này nhanh chóng khai thác các lỗ hổng mới được tiết lộ, đôi khi trong vòng một ngày kể từ khi khai thác Proof of Concept (PoC) được phát hành.

Tin tặc nhắm mục tiêu vào một loạt thiết bị và dịch vụ, bao gồm Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) và Magento (CVE-2022-24086).

Magnet Goblin sử dụng các lỗ hổng này để xâm nhập vào các máy chủ bằng phần mềm độc hại được tùy chỉnh, chẳng hạn như NerbianRAT và MiniNerbian, cùng với phiên bản tùy chỉnh của kẻ đánh cắp JavaScript WARPWIRE.

NerbianRAT có thể thực hiện nhiều chức năng đe dọa

Từ năm 2022, các nhà nghiên cứu đã biết đến NerbianRAT dành cho Windows. Tuy nhiên, giờ đây họ tiết lộ rằng một biến thể Linux được biên soạn sơ sài nhưng hiệu quả được Magnet Goblin sử dụng đã lưu hành từ tháng 5 năm 2022.

Sau khi khởi tạo, phần mềm độc hại sẽ thực hiện các hành động ban đầu, chẳng hạn như thu thập thông tin hệ thống như thời gian, tên người dùng và tên máy, tạo ID bot, đặt địa chỉ IP được mã hóa cứng làm máy chủ chính và phụ, thiết lập thư mục làm việc và tải khóa RSA công khai để mã hóa truyền thông mạng.

Sau đó, NerbianRAT tải cấu hình của nó, cho biết thời gian hoạt động (thời gian làm việc), khoảng thời gian liên lạc với máy chủ ra lệnh và điều khiển (C2) cũng như các tham số khác.

C2 có thể đưa ra một trong số các lệnh cho phần mềm độc hại để thực thi trên hệ thống bị nhiễm:

• Yêu cầu hành động bổ sung
• Thực thi lệnh Linux trong một luồng mới

Việc vá lỗi thường xuyên đóng một vai trò quan trọng trong việc ngăn chặn việc khai thác 1 ngày. Hơn nữa, việc triển khai các biện pháp bổ sung như phân đoạn mạng, bảo vệ điểm cuối và xác thực đa yếu tố có thể làm giảm tác động của các vi phạm tiềm ẩn.

Phần mềm độc hại bổ sung bị loại bỏ cùng với NerbianRAT

MiniNerbian là phiên bản đơn giản hóa của NerbianRAT, chủ yếu được sử dụng để thực thi lệnh. Chức năng của nó bao gồm thực thi các lệnh từ C2 và truyền kết quả, cập nhật lịch hoạt động (trong cả ngày hoặc giờ cụ thể) và điều chỉnh cấu hình. Không giống như NerbianRAT phức tạp hơn, MiniNerbian giao tiếp với C2 thông qua HTTP thay vì các ổ cắm TCP thô, có khả năng chỉ ra rằng nó đóng vai trò như một lựa chọn để dự phòng hoặc như một cửa hậu bí mật trong các tình huống cụ thể của Magnet Goblin.