NerbianRAT Linux - 与 Magnet Goblin APT 相关的新型恶意软件

Check Point 报告称，受经济动机驱动的威胁行为者一直致力于利用公共访问服务中最近发现的漏洞来安装 Linux 后门。该对手被称为 Magnet Goblin，迅速利用这些漏洞，特别是在边缘设备中，并一直在使用 Nerbian 自定义恶意软件系列进行恶意活动。

据观察，Magnet Goblin 针对各种平台（例如 Ivanti VPN、Magento、Qlik Sense，可能还有 Apache ActiveMQ）中的已知漏洞。例如，在利用 Ivanti 缺陷时，攻击者部署了 JavaScript 凭证窃取程序 Warpwire、NerbianRAT 后门的 Linux 版本以及开源隧道工具 Ligolo。

磁铁哥布林之前的活动

Warpwire 窃取程序与 Ivanti 漏洞的广泛利用有关，表明多个威胁参与者可能会使用该漏洞。此外，Magnet Goblin 此前曾利用 Warpwire 攻击 Magento 服务器，将其用作 NerbianRAT 的 Windows 变体和 Warpwire 本身的命令和控制服务器。

对 Magnet Goblin 基础设施的调查显示，其使用了 ScreenConnect 和 AnyDesk 等远程监控和管理工具，以及 Qlik Sense 和 Apache ActiveMQ。 NerbianRAT 的 Linux 变体自 2022 年起活跃，它收集系统信息、执行命令并通过加密通道与命令和控制服务器进行通信。

后门提供了广泛的功能，为威胁行为者提供了在受感染机器上秘密操作的灵活性。 MiniNerbian 是 NerbianRAT 的简化版本，支持命令执行并使用 HTTP 进行通信，提供类似的功能但占用空间更小。

Magnet Goblin 的活动在经济激励的推动下，凸显了利用一日漏洞传播定制 Linux 恶意软件的趋势。这些工具主要针对边缘设备，反映了威胁行为者利用以前被忽视的漏洞领域的更广泛模式。