NerbianRAT Linux 恶意软件

一个名为 Magnet Goblin 的组织是一个出于经济动机的威胁行为者，利用各种 1-day 漏洞渗透公众可访问的服务器。他们专门针对 Windows 和 Linux 系统，一旦进入目标系统就部署定制的恶意软件。这些漏洞通常是 1 天缺陷，并且是已通过可用补丁公开披露的弱点。为了有效利用这些缺陷，威胁行为者必须在潜在目标实施已发布的安全更新之前迅速采取行动。

Magnet Goblin 利用大量漏洞释放自定义 NerbianRAT 变种

通常，漏洞披露后不容易立即被利用。然而，某些漏洞相对容易被利用，对补丁进行逆向工程可以揭示根本问题及其可利用的方面。一直在研究 Magnet Goblin 的信息安全分析师指出，这些攻击者会迅速采取行动利用新披露的漏洞，有时甚至在概念验证 (PoC) 漏洞发布后的一天之内。

黑客针对一系列设备和服务，包括 Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893）、Apache ActiveMQ、ConnectWise ScreenConnect、Qlik Sense (CVE) -2023-41265、CVE-2023-41266、CVE-2023-48365) 和 Magento (CVE-2022-24086)。

Magnet Goblin 利用这些漏洞，通过定制的恶意软件（例如NerbianRAT和 MiniNerbian）以及 WARPWIRE JavaScript 窃取程序的定制版本渗透服务器。

NerbianRAT 可以执行多种威胁功能

自 2022 年以来，研究人员已经了解了 Windows 版 NerbianRAT。然而，他们现在透露，Magnet Goblin 使用的一个粗略编译但有效的 Linux 变种自 2022 年 5 月以来一直在传播。

初始化后，恶意软件会执行初始操作，例如收集时间、用户名和计算机名称等系统信息，生成机器人 ID，将硬编码 IP 地址设置为主主机和辅助主机，建立工作目录以及加载公共 RSA 密钥用于加密网络通信。

随后，NerbianRAT 加载其配置，该配置规定了活动时间（工作时间）、与命令和控制 (C2) 服务器通信的间隔以及其他参数。

C2 可能会向恶意软件发出多个命令之一，以便在受感染的系统上执行：

• 请求额外的行动
• 在新线程中执行Linux命令

频繁打补丁对于防止一日漏洞利用至关重要。此外，实施网络分段、端点保护和多因素身份验证等额外措施可以减少潜在违规的影响。

与 NerbianRAT 一起投放的补充恶意软件

MiniNerbian 是 NerbianRAT 的精简版本，主要用于命令执行。其功能包括执行 C2 的命令并传输结果、更新活动计划（全天或特定时间）以及调整配置。与更复杂的 NerbianRAT 不同，MiniNerbian 通过 HTTP 而不是原始 TCP 套接字与 C2 进行通信，这可能表明它是 Magnet Goblin 在特定场景中的冗余选择或隐蔽后门。