NerbianRAT Linux – Neuartige Malware im Zusammenhang mit Magnet Goblin APT
Check Point berichtet, dass ein aus finanziellen Gründen getriebener Bedrohungsakteur sich darauf konzentriert hat, kürzlich entdeckte Schwachstellen in öffentlich zugänglichen Diensten auszunutzen, um Linux-Hintertüren zu installieren. Dieser als Magnet Goblin identifizierte Angreifer hat diese Schwachstellen, insbesondere in Edge-Geräten, schnell ausgenutzt und die benutzerdefinierte Malware-Familie Nerbian für böswillige Aktivitäten genutzt.
Es wurde beobachtet, dass Magnet Goblin auf bekannte Schwachstellen in verschiedenen Plattformen wie Ivanti VPNs, Magento, Qlik Sense und möglicherweise Apache ActiveMQ abzielt. Um Ivanti-Schwachstellen auszunutzen, setzte der Akteur beispielsweise Warpwire, einen JavaScript-Anmeldedaten-Stealer, eine Linux-Version der NerbianRAT-Hintertür und Ligolo, ein Open-Source-Tunneling-Tool, ein.
Vorherige Aktivität von Magnet Goblin
Der Warpwire-Stealer wurde mit der weit verbreiteten Ausnutzung von Ivanti-Schwachstellen in Verbindung gebracht, was auf eine mögliche Nutzung durch mehrere Bedrohungsakteure hindeutet. Darüber hinaus hat Magnet Goblin Warpwire zuvor bei Angriffen auf Magento-Server eingesetzt und diese als Befehls- und Kontrollserver für die Windows-Variante von NerbianRAT und Warpwire selbst eingesetzt.
Die Untersuchung der Infrastruktur von Magnet Goblin ergab den Einsatz von Remote-Überwachungs- und Verwaltungstools wie ScreenConnect und AnyDesk sowie die gezielte Nutzung von Qlik Sense und Apache ActiveMQ. Die seit 2022 aktive Linux-Variante von NerbianRAT sammelt Systeminformationen, führt Befehle aus und kommuniziert über verschlüsselte Kanäle mit dem Command-and-Control-Server.
Die Hintertür bietet ein breites Spektrum an Funktionen und bietet dem Bedrohungsakteur die Flexibilität, heimlich auf infizierten Computern vorzugehen. MiniNerbian, eine vereinfachte Version von NerbianRAT, unterstützt die Befehlsausführung und nutzt HTTP für die Kommunikation und bietet ähnliche Funktionen, jedoch mit geringerem Platzbedarf.
Die durch finanzielle Anreize getriebenen Kampagnen von Magnet Goblin verdeutlichen den Trend, eintägige Schwachstellen auszunutzen, um benutzerdefinierte Linux-Malware zu verbreiten. Diese Tools zielen hauptsächlich auf Edge-Geräte ab und spiegeln ein breiteres Muster von Bedrohungsakteuren wider, die zuvor übersehene Schwachstellenbereiche ausnutzen.