NerbianRAT Linux — новое вредоносное ПО, связанное с APT Magnet Goblin
Check Point сообщает, что злоумышленник, движимый финансовыми мотивами, сосредоточился на использовании недавно обнаруженных уязвимостей в общедоступных сервисах для установки бэкдоров Linux. Этот злоумышленник, известный как Magnet Goblin, быстро воспользовался этими уязвимостями, особенно в периферийных устройствах, и использовал специальное семейство вредоносных программ Nerbian для вредоносных действий.
Было замечено, что Magnet Goblin нацелен на известные уязвимости на различных платформах, таких как Ivanti VPN, Magento, Qlik Sense и, возможно, Apache ActiveMQ. Например, для использования уязвимостей Ivanti актер использовал Warpwire, похититель учетных данных JavaScript, версию бэкдора NerbianRAT для Linux и Ligolo, инструмент туннелирования с открытым исходным кодом.
Предыдущая деятельность Магнитного Гоблина
Похититель Warpwire был связан с широким использованием уязвимостей Ivanti, что указывает на потенциальное использование несколькими злоумышленниками. Кроме того, Magnet Goblin ранее использовал Warpwire для атак на серверы Magento, используя их в качестве серверов управления для версии NerbianRAT для Windows и самой Warpwire.
Расследование инфраструктуры Magnet Goblin выявило использование инструментов удаленного мониторинга и управления, таких как ScreenConnect и AnyDesk, а также нацеленных на Qlik Sense и Apache ActiveMQ. Вариант NerbianRAT для Linux, действующий с 2022 года, собирает системную информацию, выполняет команды и обменивается данными с сервером управления и контроля по зашифрованным каналам.
Бэкдор предоставляет широкий спектр возможностей, предлагая злоумышленнику гибкость и возможность скрытно действовать на зараженных машинах. MiniNerbian, упрощенная версия NerbianRAT, поддерживает выполнение команд и использует HTTP для связи, выполняя аналогичные функции, но занимая меньше места.
Кампании Magnet Goblin, основанные на финансовых стимулах, подчеркивают тенденцию использования однодневных уязвимостей для распространения специального вредоносного ПО для Linux. Эти инструменты в основном нацелены на периферийные устройства, что отражает более широкую картину того, как злоумышленники используют ранее упускаемые из виду области уязвимости.