NerbianRAT Linux – nauja kenkėjiška programa, susieta su Magnet Goblin APT
„Check Point“ praneša, kad finansinių motyvų skatinamas grėsmės veikėjas daugiausia dėmesio skiria neseniai aptiktų viešai prieinamų paslaugų pažeidžiamumui, kad įdiegtų „Linux“ užpakalines duris. Šis priešas, identifikuotas kaip Magnetas Goblinas, greitai panaudojo šiuos pažeidžiamumus, ypač kraštiniuose įrenginiuose, ir naudojo „Nerbian“ tinkintą kenkėjiškų programų šeimą kenkėjiškai veiklai.
Buvo pastebėta, kad magnetas Goblin nukreiptas į žinomus įvairių platformų, tokių kaip Ivanti VPN, Magento, Qlik Sense ir galbūt Apache ActiveMQ, spragas. Pavyzdžiui, išnaudodamas „Ivanti“ trūkumus, aktorius įdiegė „Warpwire“, „JavaScript“ kredencialų vagystę, „Linux“ „NerbianRAT backdoor“ versiją ir „Ligolo“, atvirojo kodo tuneliavimo įrankį.
Ankstesnė magneto goblino veikla
„Warpwire“ vagystė buvo siejama su plačiai paplitusiu „Ivanti“ pažeidžiamumų išnaudojimu, o tai rodo, kad jį gali naudoti keli grėsmės veikėjai. Be to, Magnet Goblin anksčiau naudojo Warpwire atakoms prieš Magento serverius, naudodamas juos kaip komandų ir valdymo serverius, skirtus NerbianRAT Windows variantui ir pačiam Warpwire.
„Magnet Goblin“ infrastruktūros tyrimas atskleidė nuotolinio stebėjimo ir valdymo įrankių, tokių kaip „ScreenConnect“ ir „AnyDesk“, naudojimą, taip pat „Qlik Sense“ ir „Apache ActiveMQ“ taikymą. „Linux“ NerbianRAT variantas, veikiantis nuo 2022 m., renka sistemos informaciją, vykdo komandas ir palaiko ryšį su komandų ir valdymo serveriu šifruotais kanalais.
Užpakalinės durys suteikia platų galimybių spektrą, suteikiant grėsmės veikėjui lankstumo, kad jis galėtų slaptai veikti užkrėstuose įrenginiuose. MiniNerbian, supaprastinta NerbianRAT versija, palaiko komandų vykdymą ir ryšiui naudoja HTTP, atlikdama panašias funkcijas, bet su mažesniu plotu.
„Magnet Goblin“ kampanijos, skatinamos finansinių paskatų, išryškina tendenciją išnaudoti vienos dienos pažeidžiamumą platinant tinkintą „Linux“ kenkėjišką programą. Šios priemonės daugiausia skirtos kraštiniams įrenginiams, atspindintiems platesnį grėsmės veikėjų modelį, kuris išnaudoja anksčiau nepastebėtas pažeidžiamumo sritis.