NerbianRAT Linux 惡意軟體

一個名為 Magnet Goblin 的組織是一個出於經濟動機的威脅行為者，利用各種 1-day 漏洞滲透公眾可訪問的伺服器。他們專門針對 Windows 和 Linux 系統，一旦進入目標系統就部署客製化的惡意軟體。這些漏洞通常是 1 天缺陷，並且是已透過可用修補程式公開披露的弱點。為了有效利用這些缺陷，威脅行為者必須在潛在目標實施已發布的安全性更新之前迅速採取行動。

Magnet Goblin 利用大量漏洞釋放自訂 NerbianRAT 變種

通常，漏洞披露後不容易立即被利用。然而，某些漏洞相對容易被利用，對修補程式進行逆向工程可以揭示根本問題及其可利用的方面。一直在研究 Magnet Goblin 的資訊安全分析師指出，這些攻擊者會迅速採取行動利用新揭露的漏洞，有時甚至在概念驗證 (PoC) 漏洞發布後的一天之內。

駭客針對一系列設備和服務，包括 Ivanti Connect Secure（CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893）、Apache ActiveMQ、ConnectWise Screen Sense、CVEect 2023-41265、CVE-2023-41266、CVE-2023-48365) 和Magento (CVE-2022-24086)。

Magnet Goblin 利用這些漏洞，透過客製化的惡意軟體（例如NerbianRAT和 MiniNerbian）以及 WARPWIRE JavaScript 竊取程式的定製版本滲透伺服器。

NerbianRAT 可以執行多種威脅功能

自 2022 年以來，研究人員已經了解了 Windows 版 NerbianRAT。然而，他們現在透露，Magnet Goblin 使用的一個粗略編譯但有效的 Linux 變種自 2022 年 5 月以來一直在傳播。

初始化後，惡意軟體會執行初始操作，例如收集時間、使用者名稱和電腦名稱等系統訊息，產生機器人 ID，將硬編碼 IP 位址設定為主主機和輔助主機，建立工作目錄以及載入公用 RSA 金鑰用於加密網路通訊。

隨後，NerbianRAT 載入其配置，該配置規定了活動時間（工作時間）、與命令和控制 (C2) 伺服器通訊的間隔以及其他參數。

C2 可能會向惡意軟體發出多個命令之一，以便在受感染的系統上執行：

• 請求額外的行動
• 在新線程中執行Linux指令

頻繁打補丁對於防止一日漏洞利用至關重要。此外，實施網路分段、端點保護和多因素身份驗證等額外措施可以減少潛在違規的影響。

與 NerbianRAT 一起投放的補充惡意軟體

MiniNerbian 是 NerbianRAT 的精簡版本，主要用於指令執行。其功能包括執行 C2 的命令並傳輸結果、更新活動計劃（全天或特定時間）以及調整配置。與更複雜的 NerbianRAT 不同，MiniNerbian 透過 HTTP 而不是原始 TCP 套接字與 C2 進行通信，這可能表明它是 Magnet Goblin 在特定場景中的冗餘選擇或隱藏後門。