NerbianRAT Linux – Új rosszindulatú program, amely a Magnet Goblin APT-hez kapcsolódik
A Check Point jelentése szerint egy pénzügyi indíttatású fenyegetési szereplő arra összpontosít, hogy kihasználja a nyilvánosan elérhető szolgáltatásokban a közelmúltban felfedezett biztonsági réseket Linux hátsó ajtók telepítésére. A Magnet Goblin néven azonosított ellenfél gyorsan kihasználta ezeket a sebezhetőségeket, különösen a szélső eszközökben, és rosszindulatú tevékenységekre használta a Nerbian egyéni rosszindulatú programcsaládot.
Megfigyelték, hogy a Magnet Goblin különböző platformok ismert sebezhetőségeit célozza meg, mint például az Ivanti VPN-ek, a Magento, a Qlik Sense és esetleg az Apache ActiveMQ. Például az Ivanti hibáinak kihasználása során a színész bevetette a Warpwire-t, egy JavaScript hitelesítő adatlopót, a NerbianRAT backdoor Linux-verzióját és a Ligolo-t, egy nyílt forráskódú alagútkezelő eszközt.
Mágnes Goblin korábbi tevékenysége
A Warpwire-lopót az Ivanti sebezhetőségeinek széles körben elterjedt kihasználásával hozták összefüggésbe, ami arra utal, hogy több fenyegetés szereplője is felhasználhatja. Ezenkívül a Magnet Goblin korábban a Warpwire-t használta a Magento-kiszolgálók elleni támadásokban, parancs- és vezérlőszerverként alkalmazva a NerbianRAT Windows-változatához és magának a Warpwire-nek.
A Magnet Goblin infrastruktúrájának vizsgálata feltárta a távfelügyeleti és felügyeleti eszközök, például a ScreenConnect és az AnyDesk használatát, valamint a Qlik Sense és az Apache ActiveMQ célzását. A NerbianRAT 2022 óta működő linuxos változata rendszerinformációkat gyűjt, parancsokat hajt végre, és titkosított csatornákon keresztül kommunikál a parancs- és vezérlőkiszolgálóval.
A hátsó ajtó a képességek széles skáláját kínálja, rugalmasságot biztosítva a fenyegetés szereplői számára a fertőzött gépeken történő lopakodó műveletekhez. A MiniNerbian, a NerbianRAT egyszerűsített változata támogatja a parancsvégrehajtást, és HTTP-t használ a kommunikációhoz, hasonló funkciókat szolgálva, de kisebb helyigénnyel.
A Magnet Goblin pénzügyi ösztönzők által vezérelt kampányai rávilágítanak arra a tendenciára, hogy az egynapos sebezhetőségeket kihasználva egyedi Linux kártevőket terjesztenek. Ezek az eszközök túlnyomórészt szélső eszközöket céloznak meg, tükrözve a fenyegetés szereplőinek szélesebb mintáját, akik kihasználják a korábban figyelmen kívül hagyott sebezhetőségi területeket.