NerbianRAT Linux — nowe złośliwe oprogramowanie powiązane z Magnet Goblin APT
Check Point donosi, że ugrupowanie zagrażające kierujące się motywami finansowymi skupiło się na wykorzystaniu niedawno odkrytych luk w zabezpieczeniach w publicznie dostępnych usługach w celu zainstalowania backdoorów dla systemu Linux. Przeciwnik ten, zidentyfikowany jako Magnet Goblin, szybko wykorzystuje te luki, szczególnie na urządzeniach brzegowych, i wykorzystuje rodzinę niestandardowego szkodliwego oprogramowania Nerbian do szkodliwych działań.
Zaobserwowano, że Magnet Goblin atakuje znane luki w zabezpieczeniach różnych platform, takich jak Ivanti VPN, Magento, Qlik Sense i prawdopodobnie Apache ActiveMQ. Na przykład, wykorzystując wady Ivanti, aktor wdrożył Warpwire, narzędzie do kradzieży danych uwierzytelniających JavaScript, linuksową wersję backdoora NerbianRAT oraz Ligolo, narzędzie do tunelowania typu open source.
Poprzednia aktywność Magnet Goblina
Złodzieja Warpwire powiązano z powszechnym wykorzystywaniem luk w zabezpieczeniach Ivanti, co wskazuje na potencjalne wykorzystanie luk przez wiele podmiotów zagrażających. Ponadto Magnet Goblin wykorzystywał wcześniej Warpwire w atakach na serwery Magento, wykorzystując je jako serwery dowodzenia i kontroli dla Windowsowej wersji NerbianRAT i samego Warpwire.
Badanie infrastruktury Magnet Goblin ujawniło wykorzystanie narzędzi do zdalnego monitorowania i zarządzania, takich jak ScreenConnect i AnyDesk, a także kierowanie na Qlik Sense i Apache ActiveMQ. Linuxowy wariant NerbianRAT, aktywny od 2022 roku, zbiera informacje o systemie, wykonuje polecenia i komunikuje się z serwerem dowodzenia i kontroli za pośrednictwem szyfrowanych kanałów.
Backdoor zapewnia szeroki zakres możliwości, zapewniając cyberprzestępcy elastyczność w zakresie ukrytego działania na zainfekowanych komputerach. MiniNerbian, uproszczona wersja NerbianRAT, obsługuje wykonywanie poleceń i wykorzystuje do komunikacji protokół HTTP, obsługując podobne funkcje, ale zajmując mniej miejsca.
Kampanie Magnet Goblin, napędzane zachętami finansowymi, podkreślają tendencję wykorzystywania jednodniowych luk w zabezpieczeniach do dystrybucji niestandardowego szkodliwego oprogramowania dla systemu Linux. Narzędzia te atakują głównie urządzenia brzegowe, co odzwierciedla szerszy wzorzec podmiotów zagrażających wykorzystujących wcześniej przeoczone obszary luk w zabezpieczeniach.