NerbianRAT Linux - Nouveau logiciel malveillant lié à Magnet Goblin APT
Check Point rapporte qu'un acteur menaçant motivé par des motivations financières s'est concentré sur l'exploitation de vulnérabilités récemment découvertes dans les services accessibles au public pour installer des portes dérobées Linux. Identifié sous le nom de Magnet Goblin, cet adversaire a rapidement exploité ces vulnérabilités, en particulier sur les appareils de pointe, et a utilisé la famille de logiciels malveillants personnalisés Nerbian pour des activités malveillantes.
Magnet Goblin a été observé ciblant des vulnérabilités connues sur diverses plates-formes telles que les VPN Ivanti, Magento, Qlik Sense et éventuellement Apache ActiveMQ. Par exemple, en exploitant les failles d'Ivanti, l'acteur a déployé Warpwire, un voleur d'identifiants JavaScript, une version Linux de la porte dérobée NerbianRAT, et Ligolo, un outil de tunneling open source.
Activité précédente de Magnet Goblin
Le voleur Warpwire a été associé à une exploitation généralisée des vulnérabilités Ivanti, ce qui indique une utilisation potentielle par plusieurs acteurs malveillants. De plus, Magnet Goblin a déjà utilisé Warpwire dans des attaques contre des serveurs Magento, les employant comme serveurs de commande et de contrôle pour la variante Windows de NerbianRAT et Warpwire lui-même.
L'enquête sur l'infrastructure de Magnet Goblin a révélé l'utilisation d'outils de surveillance et de gestion à distance tels que ScreenConnect et AnyDesk, ainsi que le ciblage de Qlik Sense et Apache ActiveMQ. La variante Linux de NerbianRAT, active depuis 2022, collecte des informations système, exécute des commandes et communique avec le serveur de commande et de contrôle via des canaux cryptés.
La porte dérobée offre un large éventail de fonctionnalités, offrant ainsi à l’auteur de la menace la flexibilité d’opérer furtivement sur les machines infectées. MiniNerbian, une version simplifiée de NerbianRAT, prend en charge l'exécution de commandes et utilise HTTP pour la communication, remplissant des fonctions similaires mais avec un encombrement réduit.
Les campagnes de Magnet Goblin, motivées par des incitations financières, mettent en évidence une tendance à exploiter des vulnérabilités d'un jour pour distribuer des logiciels malveillants Linux personnalisés. Ces outils ciblent principalement les appareils de pointe, reflétant un schéma plus large d’acteurs menaçants exploitant des zones de vulnérabilité jusqu’alors négligées.