NerbianRAT Linux - Νέο κακόβουλο λογισμικό που συνδέεται με το Magnet Goblin APT
Το Check Point αναφέρει ότι ένας παράγοντας απειλής που καθοδηγείται από οικονομικά κίνητρα έχει επικεντρωθεί στην εκμετάλλευση τρωτών σημείων που ανακαλύφθηκαν πρόσφατα σε δημόσια προσβάσιμες υπηρεσίες για την εγκατάσταση backdoors Linux. Αναγνωρισμένος ως Magnet Goblin, αυτός ο αντίπαλος εκμεταλλεύτηκε γρήγορα αυτά τα τρωτά σημεία, ιδιαίτερα σε συσκευές edge, και χρησιμοποιούσε την οικογένεια προσαρμοσμένων κακόβουλων προγραμμάτων Nerbian για κακόβουλες δραστηριότητες.
Έχει παρατηρηθεί ότι το Magnet Goblin στοχεύει γνωστά τρωτά σημεία σε διάφορες πλατφόρμες όπως τα Ivanti VPN, Magento, Qlik Sense και πιθανώς το Apache ActiveMQ. Για παράδειγμα, εκμεταλλευόμενος τα ελαττώματα του Ivanti, ο ηθοποιός ανέπτυξε το Warpwire, ένα πρόγραμμα κλοπής διαπιστευτηρίων JavaScript, μια έκδοση Linux του NerbianRAT backdoor και το Ligolo, ένα εργαλείο ανοιχτού κώδικα τούνελ.
Προηγούμενη δραστηριότητα του Magnet Goblin
Ο κλέφτης Warpwire έχει συσχετιστεί με ευρεία εκμετάλλευση των τρωτών σημείων του Ivanti, υποδεικνύοντας πιθανή χρήση από πολλούς παράγοντες απειλών. Επιπλέον, ο Magnet Goblin έχει χρησιμοποιήσει στο παρελθόν το Warpwire σε επιθέσεις εναντίον διακομιστών Magento, χρησιμοποιώντας τους ως διακομιστές εντολών και ελέγχου για την παραλλαγή των Windows του NerbianRAT και του ίδιου του Warpwire.
Η έρευνα στην υποδομή του Magnet Goblin αποκάλυψε τη χρήση εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης όπως το ScreenConnect και το AnyDesk, μαζί με τη στόχευση των Qlik Sense και Apache ActiveMQ. Η παραλλαγή Linux του NerbianRAT, ενεργή από το 2022, συλλέγει πληροφορίες συστήματος, εκτελεί εντολές και επικοινωνεί με τον διακομιστή εντολών και ελέγχου μέσω κρυπτογραφημένων καναλιών.
Η κερκόπορτα παρέχει ένα ευρύ φάσμα δυνατοτήτων, προσφέροντας ευελιξία στον παράγοντα απειλής να λειτουργεί κρυφά σε μολυσμένα μηχανήματα. Το MiniNerbian, μια απλοποιημένη έκδοση του NerbianRAT, υποστηρίζει την εκτέλεση εντολών και χρησιμοποιεί HTTP για επικοινωνία, εξυπηρετώντας παρόμοιες λειτουργίες αλλά με μικρότερο αποτύπωμα.
Οι καμπάνιες του Magnet Goblin, καθοδηγούμενες από οικονομικά κίνητρα, υπογραμμίζουν μια τάση εκμετάλλευσης τρωτών σημείων της ημέρας για τη διανομή προσαρμοσμένου κακόβουλου λογισμικού Linux. Αυτά τα εργαλεία στοχεύουν κυρίως συσκευές αιχμής, αντανακλώντας ένα ευρύτερο μοτίβο παραγόντων απειλής που εκμεταλλεύονται προηγουμένως παραγνωρισμένες περιοχές ευπάθειας.
