NerbianRAT Linux - マグネット ゴブリン APT にリンクされた新しいマルウェア
Check Point は、金銭的動機に動かされた攻撃者が、公的にアクセス可能なサービスで最近発見された脆弱性を悪用して Linux バックドアをインストールすることに重点を置いていると報告しています。 Magnet ゴブリンとして識別されるこの攻撃者は、特にエッジ デバイスでこれらの脆弱性を迅速に悪用し、悪意のある活動に Nerbian カスタム マルウェア ファミリを使用しています。
Magnet ゴブリンは、Ivanti VPN、Magento、Qlik Sense、そしておそらく Apache ActiveMQ などのさまざまなプラットフォームの既知の脆弱性をターゲットにしていることが観察されています。たとえば、Ivanti の欠陥を悪用する際に、攻撃者は、JavaScript 資格情報スティーラーである Warpwire、NerbianRAT バックドアの Linux バージョン、およびオープンソースのトンネリング ツールである Ligolo を導入しました。
マグネット ゴブリンの以前の活動
Warpwire スティーラーは、Ivanti の脆弱性の広範な悪用に関連しており、複数の脅威アクターによって使用される可能性があることを示しています。さらに、Magnet ゴブリンは以前、Magento サーバーに対する攻撃に Warpwire を利用し、Windows 版の NerbianRAT および Warpwire 自体のコマンド アンド コントロール サーバーとして使用していました。
Magnet ゴブリンのインフラストラクチャを調査したところ、ScreenConnect や AnyDesk などのリモート監視および管理ツールが利用されていることが判明し、さらに Qlik Sense や Apache ActiveMQ も標的にされていたことが明らかになりました。 2022 年からアクティブになっている NerbianRAT の Linux 版は、システム情報を収集し、コマンドを実行し、暗号化されたチャネルを介してコマンド アンド コントロール サーバーと通信します。
バックドアは幅広い機能を提供し、感染したマシン上で脅威アクターが密かに動作できる柔軟性を提供します。 NerbianRAT の簡易バージョンである MiniNerbian は、コマンドの実行をサポートし、通信に HTTP を使用して、同様の機能を提供しますが、フットプリントは小さくなります。
Magnet ゴブリンのキャンペーンは金銭的インセンティブによって推進されており、ワンデー脆弱性を悪用してカスタム Linux マルウェアを配布する傾向を浮き彫りにしています。これらのツールは主にエッジ デバイスをターゲットにしており、これまで見過ごされていた脆弱性領域を悪用する脅威アクターのより広範なパターンを反映しています。