NerbianRAT Linux - Novel Malware knyttet til Magnet Goblin APT

Check Point rapporterer, at en trusselsaktør drevet af økonomiske motiver har fokuseret på at udnytte nyligt opdagede sårbarheder i offentligt tilgængelige tjenester til at installere Linux-bagdøre. Identificeret som Magnet Goblin, har denne modstander været hurtig til at udnytte disse sårbarheder, især i edge-enheder, og har brugt den nerbiske tilpassede malware-familie til ondsindede aktiviteter.

Magnet Goblin er blevet observeret målrettet mod kendte sårbarheder i forskellige platforme såsom Ivanti VPN'er, Magento, Qlik Sense og muligvis Apache ActiveMQ. For eksempel ved at udnytte Ivanti-fejlene implementerede skuespilleren Warpwire, en JavaScript-legitimationstyver, en Linux-version af NerbianRAT-bagdøren og Ligolo, et open source-tunnelingværktøj.

Magnet Goblins tidligere aktivitet

Warpwire-tyveren er blevet forbundet med udbredt udnyttelse af Ivanti-sårbarheder, hvilket indikerer potentiel brug af flere trusselsaktører. Derudover har Magnet Goblin tidligere brugt Warpwire i angreb mod Magento-servere og brugt dem som kommando-og-kontrol-servere til Windows-varianten af NerbianRAT og Warpwire selv.

En undersøgelse af Magnet Goblins infrastruktur afslørede brugen af fjernovervågnings- og administrationsværktøjer som ScreenConnect og AnyDesk sammen med målretning af Qlik Sense og Apache ActiveMQ. Linux-varianten af NerbianRAT, aktiv siden 2022, indsamler systemoplysninger, udfører kommandoer og kommunikerer med kommando-og-kontrolserveren over krypterede kanaler.

Bagdøren giver en bred vifte af muligheder, der tilbyder fleksibilitet for trusselsaktøren til at operere snigende på inficerede maskiner. MiniNerbian, en forenklet version af NerbianRAT, understøtter kommandoudførelse og bruger HTTP til kommunikation, der tjener lignende funktioner, men med et mindre fodaftryk.

Magnet Goblins kampagner, drevet af økonomiske incitamenter, fremhæver en tendens til at udnytte endagssårbarheder til at distribuere tilpasset Linux-malware. Disse værktøjer retter sig overvejende mod edge-enheder, hvilket afspejler et bredere mønster af trusselsaktører, der udnytter tidligere oversete sårbarhedsområder.