NerbianRAT Linux - Novo malware vinculado ao Magnet Goblin APT
A Check Point relata que um ator de ameaça movido por motivos financeiros tem se concentrado na exploração de vulnerabilidades recentemente descobertas em serviços acessíveis ao público para instalar backdoors do Linux. Identificado como Magnet Goblin, esse adversário tem sido rápido em aproveitar essas vulnerabilidades, especialmente em dispositivos de ponta, e tem usado a família de malware personalizado Nerbian para atividades maliciosas.
Magnet Goblin foi observado visando vulnerabilidades conhecidas em várias plataformas, como Ivanti VPNs, Magento, Qlik Sense e possivelmente Apache ActiveMQ. Por exemplo, ao explorar as falhas do Ivanti, o ator implantou o Warpwire, um ladrão de credenciais JavaScript, uma versão Linux do backdoor NerbianRAT e o Ligolo, uma ferramenta de tunelamento de código aberto.
Atividade anterior do Magnet Goblin
O ladrão Warpwire tem sido associado à exploração generalizada das vulnerabilidades da Ivanti, indicando uso potencial por vários atores de ameaças. Além disso, Magnet Goblin já utilizou Warpwire em ataques contra servidores Magento, empregando-os como servidores de comando e controle para a variante Windows do NerbianRAT e do próprio Warpwire.
A investigação na infraestrutura do Magnet Goblin revelou a utilização de ferramentas de monitoramento e gerenciamento remoto como ScreenConnect e AnyDesk, juntamente com o direcionamento do Qlik Sense e Apache ActiveMQ. A variante Linux do NerbianRAT, ativa desde 2022, coleta informações do sistema, executa comandos e se comunica com o servidor de comando e controle por meio de canais criptografados.
O backdoor oferece uma ampla gama de recursos, oferecendo flexibilidade para o agente da ameaça operar furtivamente em máquinas infectadas. MiniNerbian, uma versão simplificada do NerbianRAT, suporta execução de comandos e usa HTTP para comunicação, servindo funções semelhantes, mas com um espaço menor.
As campanhas da Magnet Goblin, impulsionadas por incentivos financeiros, destacam uma tendência de exploração de vulnerabilidades de um dia para distribuir malware Linux personalizado. Essas ferramentas visam predominantemente dispositivos de ponta, refletindo um padrão mais amplo de atores de ameaças que exploram áreas de vulnerabilidade anteriormente negligenciadas.
