NerbianRAT Linux - Nieuwe malware gekoppeld aan Magnet Goblin APT
Check Point meldt dat een bedreigingsacteur, gedreven door financiële motieven, zich heeft gefocust op het misbruiken van recent ontdekte kwetsbaarheden in publiekelijk toegankelijke diensten om Linux-backdoors te installeren. Deze tegenstander, geïdentificeerd als Magnet Goblin, is snel in het benutten van deze kwetsbaarheden, vooral in edge-apparaten, en gebruikt de aangepaste Nerbian-malwarefamilie voor kwaadaardige activiteiten.
Er is waargenomen dat Magnet Goblin zich richt op bekende kwetsbaarheden in verschillende platforms zoals Ivanti VPN's, Magento, Qlik Sense en mogelijk Apache ActiveMQ. Bij het exploiteren van Ivanti-fouten heeft de acteur bijvoorbeeld Warpwire ingezet, een JavaScript-credential stealer, een Linux-versie van de NerbianRAT-backdoor, en Ligolo, een open source tunnelingtool.
Vorige activiteit van Magnet Goblin
De Warpwire-stealer wordt in verband gebracht met wijdverbreide exploitatie van Ivanti-kwetsbaarheden, wat wijst op mogelijk gebruik door meerdere bedreigingsactoren. Bovendien heeft Magnet Goblin eerder Warpwire gebruikt bij aanvallen op Magento-servers, waarbij hij ze gebruikte als command-and-control-servers voor de Windows-variant van NerbianRAT en Warpwire zelf.
Onderzoek naar de infrastructuur van Magnet Goblin bracht het gebruik aan het licht van tools voor monitoring en beheer op afstand, zoals ScreenConnect en AnyDesk, samen met targeting van Qlik Sense en Apache ActiveMQ. De Linux-variant van NerbianRAT, actief sinds 2022, verzamelt systeeminformatie, voert opdrachten uit en communiceert met de command-and-control-server via gecodeerde kanalen.
De achterdeur biedt een breed scala aan mogelijkheden en biedt de dreigingsactor flexibiliteit om heimelijk op geïnfecteerde machines te opereren. MiniNerbian, een vereenvoudigde versie van NerbianRAT, ondersteunt het uitvoeren van opdrachten en gebruikt HTTP voor communicatie, waarbij vergelijkbare functies worden uitgevoerd, maar met een kleinere footprint.
De campagnes van Magnet Goblin, gedreven door financiële prikkels, benadrukken een trend waarbij kwetsbaarheden van één dag worden misbruikt om op maat gemaakte Linux-malware te verspreiden. Deze tools richten zich voornamelijk op edge-apparaten en weerspiegelen een breder patroon van bedreigingsactoren die eerder over het hoofd geziene kwetsbaarheden exploiteren.