NerbianRAT Linux - Ny skadlig programvara kopplad till Magnet Goblin APT
Check Point rapporterar att en hotaktör som drivs av ekonomiska motiv har fokuserat på att utnyttja nyligen upptäckta sårbarheter i offentligt tillgängliga tjänster för att installera Linux-bakdörrar. Identifierad som Magnet Goblin, denna motståndare har varit snabb med att utnyttja dessa sårbarheter, särskilt i edge-enheter, och har använt den nerbiska anpassade malware-familjen för skadliga aktiviteter.
Magnet Goblin har observerats inriktat på kända sårbarheter i olika plattformar som Ivanti VPN, Magento, Qlik Sense och möjligen Apache ActiveMQ. Till exempel, när han utnyttjade Ivanti-brister, använde skådespelaren Warpwire, en JavaScript-referensstjuver, en Linux-version av NerbianRAT-bakdörren och Ligolo, ett tunnelverktyg med öppen källkod.
Magnet Goblins tidigare aktivitet
Warpwire-stjuven har associerats med utbredd exploatering av Ivanti-sårbarheter, vilket indikerar potentiell användning av flera hotaktörer. Dessutom har Magnet Goblin tidigare använt Warpwire i attacker mot Magento-servrar, och använt dem som kommando-och-kontrollservrar för Windows-varianten av NerbianRAT och Warpwire själv.
Undersökningar av Magnet Goblins infrastruktur avslöjade användningen av fjärrövervaknings- och hanteringsverktyg som ScreenConnect och AnyDesk, tillsammans med inriktning på Qlik Sense och Apache ActiveMQ. Linux-varianten av NerbianRAT, aktiv sedan 2022, samlar in systeminformation, utför kommandon och kommunicerar med kommando-och-kontrollservern över krypterade kanaler.
Bakdörren tillhandahåller ett brett utbud av funktioner och erbjuder flexibilitet för hotaktören att smygande arbeta på infekterade maskiner. MiniNerbian, en förenklad version av NerbianRAT, stöder kommandoexekvering och använder HTTP för kommunikation, med liknande funktioner men med ett mindre fotavtryck.
Magnet Goblins kampanjer, drivna av ekonomiska incitament, belyser en trend att utnyttja endagssårbarheter för att distribuera anpassad Linux-skadlig programvara. Dessa verktyg riktar sig främst till edge-enheter, vilket återspeglar ett bredare mönster av hotaktörer som utnyttjar tidigare förbisedda sårbarhetsområden.