NerbianRAT Linux: nuevo malware vinculado a Magnet Goblin APT

Check Point informa que un actor de amenazas impulsado por motivos financieros se ha centrado en explotar vulnerabilidades descubiertas recientemente en servicios de acceso público para instalar puertas traseras de Linux. Identificado como Magnet Goblin, este adversario ha aprovechado rápidamente estas vulnerabilidades, particularmente en dispositivos periféricos, y ha estado utilizando la familia de malware personalizado Nerbian para actividades maliciosas.

Se ha observado que Magnet Goblin apunta a vulnerabilidades conocidas en varias plataformas, como Ivanti VPN, Magento, Qlik Sense y posiblemente Apache ActiveMQ. Por ejemplo, al explotar las fallas de Ivanti, el actor implementó Warpwire, un ladrón de credenciales de JavaScript, una versión para Linux de la puerta trasera NerbianRAT y Ligolo, una herramienta de túnel de código abierto.

Actividad anterior de Magnet Goblin

El ladrón Warpwire se ha asociado con la explotación generalizada de las vulnerabilidades de Ivanti, lo que indica un uso potencial por parte de múltiples actores de amenazas. Además, Magnet Goblin ha utilizado anteriormente Warpwire en ataques contra servidores Magento, empleándolos como servidores de comando y control para la variante Windows de NerbianRAT y el propio Warpwire.

La investigación sobre la infraestructura de Magnet Goblin reveló la utilización de herramientas de administración y monitoreo remoto como ScreenConnect y AnyDesk, junto con la orientación de Qlik Sense y Apache ActiveMQ. La variante Linux de NerbianRAT, activa desde 2022, recopila información del sistema, ejecuta comandos y se comunica con el servidor de comando y control a través de canales cifrados.

La puerta trasera proporciona una amplia gama de capacidades, ofreciendo flexibilidad para que el actor de la amenaza opere de forma sigilosa en las máquinas infectadas. MiniNerbian, una versión simplificada de NerbianRAT, admite la ejecución de comandos y utiliza HTTP para la comunicación, cumpliendo funciones similares pero con un tamaño más pequeño.

Las campañas de Magnet Goblin, impulsadas por incentivos financieros, resaltan una tendencia a explotar vulnerabilidades de un día para distribuir malware personalizado para Linux. Estas herramientas se dirigen predominantemente a dispositivos periféricos, lo que refleja un patrón más amplio de actores de amenazas que explotan áreas de vulnerabilidad que antes se pasaban por alto.