NerbianRAT Linux - Nuovo malware collegato a Magnet Goblin APT
Check Point riferisce che un hacker spinto da motivi finanziari si è concentrato sullo sfruttamento delle vulnerabilità scoperte di recente nei servizi accessibili al pubblico per installare backdoor Linux. Identificato come Magnet Goblin, questo avversario è stato rapido nello sfruttare queste vulnerabilità, in particolare nei dispositivi edge, e ha utilizzato la famiglia di malware personalizzati Nerbian per attività dannose.
È stato osservato che Magnet Goblin prendeva di mira vulnerabilità note in varie piattaforme come VPN Ivanti, Magento, Qlik Sense e forse Apache ActiveMQ. Ad esempio, sfruttando le falle di Ivanti, l’attore ha implementato Warpwire, un ladro di credenziali JavaScript, una versione Linux della backdoor NerbianRAT e Ligolo, uno strumento di tunneling open source.
Attività precedente di Magnet Goblin
Il ladro Warpwire è stato associato allo sfruttamento diffuso delle vulnerabilità di Ivanti, indicando il potenziale utilizzo da parte di più autori di minacce. Inoltre, Magnet Goblin ha precedentemente utilizzato Warpwire negli attacchi contro i server Magento, impiegandoli come server di comando e controllo per la variante Windows di NerbianRAT e Warpwire stesso.
L'indagine sull'infrastruttura di Magnet Goblin ha rivelato l'utilizzo di strumenti di monitoraggio e gestione remota come ScreenConnect e AnyDesk, insieme alla presa di mira di Qlik Sense e Apache ActiveMQ. La variante Linux di NerbianRAT, attiva dal 2022, raccoglie informazioni di sistema, esegue comandi e comunica con il server di comando e controllo su canali crittografati.
La backdoor offre un’ampia gamma di funzionalità, offrendo all’autore della minaccia la flessibilità necessaria per operare di nascosto sulle macchine infette. MiniNerbian, una versione semplificata di NerbianRAT, supporta l'esecuzione dei comandi e utilizza HTTP per la comunicazione, svolgendo funzioni simili ma con un ingombro ridotto.
Le campagne di Magnet Goblin, guidate da incentivi finanziari, evidenziano una tendenza a sfruttare le vulnerabilità di un giorno per distribuire malware Linux personalizzato. Questi strumenti prendono di mira prevalentemente i dispositivi edge, riflettendo un modello più ampio di autori di minacce che sfruttano aree di vulnerabilità precedentemente trascurate.