NerbianRAT Linux - 與 Magnet Goblin APT 相關的新型惡意軟體
Check Point 報告稱,受經濟動機驅動的威脅行為者一直致力於利用公共存取服務中最近發現的漏洞來安裝 Linux 後門。該對手被稱為 Magnet Goblin,迅速利用這些漏洞,特別是在邊緣設備中,並一直在使用 Nerbian 自訂惡意軟體系列進行惡意活動。
據觀察,Magnet Goblin 針對各種平台(例如 Ivanti VPN、Magento、Qlik Sense,可能還有 Apache ActiveMQ)中的已知漏洞。例如,在利用 Ivanti 缺陷時,攻擊者部署了 JavaScript 憑證竊取程式 Warpwire、NerbianRAT 後門的 Linux 版本以及開源隧道工具 Ligolo。
磁鐵哥布林之前的活動
Warpwire 竊取程式與 Ivanti 漏洞的廣泛利用有關,表明多個威脅參與者可能會使用該漏洞。此外,Magnet Goblin 先前曾利用 Warpwire 攻擊 Magento 伺服器,將其用作 NerbianRAT 的 Windows 變體和 Warpwire 本身的命令和控制伺服器。
對 Magnet Goblin 基礎架構的調查顯示,其使用了 ScreenConnect 和 AnyDesk 等遠端監控和管理工具,以及 Qlik Sense 和 Apache ActiveMQ。 NerbianRAT 的 Linux 變體自 2022 年起活躍,它收集系統資訊、執行命令並透過加密通道與命令和控制伺服器進行通訊。
後門提供了廣泛的功能,為威脅行為者提供了在受感染機器上秘密操作的靈活性。 MiniNerbian 是 NerbianRAT 的簡化版本,支援命令執行並使用 HTTP 進行通信,提供類似的功能但佔用空間更小。
Magnet Goblin 的活動在經濟誘因的推動下,凸顯了利用一日漏洞傳播客製化 Linux 惡意軟體的趨勢。這些工具主要針對邊緣設備,反映了威脅行為者利用以前被忽視的漏洞領域的更廣泛模式。