NerbianRAT Linux - Ny skadelig programvare knyttet til Magnet Goblin APT
Check Point rapporterer at en trusselaktør drevet av økonomiske motiver har fokusert på å utnytte nylig oppdagede sårbarheter i offentlig tilgjengelige tjenester for å installere Linux-bakdører. Identifisert som Magnet Goblin, har denne motstanderen vært rask med å utnytte disse sårbarhetene, spesielt i edge-enheter, og har brukt den nerbiske tilpassede malware-familien for ondsinnede aktiviteter.
Magnet Goblin har blitt observert målrettet mot kjente sårbarheter i ulike plattformer som Ivanti VPN, Magento, Qlik Sense og muligens Apache ActiveMQ. For eksempel, ved å utnytte Ivanti-feilene, distribuerte skuespilleren Warpwire, en JavaScript-legitimasjonstyver, en Linux-versjon av NerbianRAT-bakdøren og Ligolo, et åpen kildekode-tunnelverktøy.
Magnet Goblin sin forrige aktivitet
Warpwire-tyveren har blitt assosiert med utbredt utnyttelse av Ivanti-sårbarheter, noe som indikerer potensiell bruk av flere trusselaktører. I tillegg har Magnet Goblin tidligere brukt Warpwire i angrep mot Magento-servere, og brukt dem som kommando-og-kontrollservere for Windows-varianten av NerbianRAT og Warpwire selv.
Undersøkelser av Magnet Goblins infrastruktur avslørte bruken av fjernovervåking og administrasjonsverktøy som ScreenConnect og AnyDesk, sammen med målretting av Qlik Sense og Apache ActiveMQ. Linux-varianten av NerbianRAT, aktiv siden 2022, samler inn systeminformasjon, utfører kommandoer og kommuniserer med kommando-og-kontroll-serveren over krypterte kanaler.
Bakdøren gir et bredt spekter av funksjoner, og tilbyr fleksibilitet for trusselaktøren til å operere snikende på infiserte maskiner. MiniNerbian, en forenklet versjon av NerbianRAT, støtter kommandoutførelse og bruker HTTP for kommunikasjon, og betjener lignende funksjoner, men med et mindre fotavtrykk.
Magnet Goblins kampanjer, drevet av økonomiske insentiver, fremhever en trend med å utnytte endagssårbarheter for å distribuere tilpasset Linux-malware. Disse verktøyene er hovedsakelig rettet mot edge-enheter, og reflekterer et bredere mønster av trusselaktører som utnytter tidligere oversett sårbarhetsområder.
