NerbianRAT Linux-Malware
Eine als Magnet Goblin bekannte Gruppe, ein finanziell motivierter Bedrohungsakteur, nutzt verschiedene 1-Tages-Schwachstellen, um öffentlich zugängliche Server zu infiltrieren. Sie sind darauf spezialisiert, sowohl Windows- als auch Linux-Systeme anzugreifen und maßgeschneiderte Malware auf dem Zielsystem bereitzustellen. Bei diesen Schwachstellen handelt es sich in der Regel um 1-Tages-Schwachstellen und es handelt sich um Schwachstellen, die mit bereits verfügbaren Patches öffentlich bekannt gegeben wurden. Um diese Schwachstellen effektiv auszunutzen, müssen Bedrohungsakteure schnell handeln, bevor potenzielle Ziele die veröffentlichten Sicherheitsupdates implementieren können.
Inhaltsverzeichnis
Der Magnet Goblin nutzt eine große Anzahl von Schwachstellen aus, um eine benutzerdefinierte NerbianRAT-Variante zu veröffentlichen
Typischerweise sind Exploits nicht sofort nach der Offenlegung einer Schwachstelle leicht zugänglich. Bestimmte Schwachstellen lassen sich jedoch relativ leicht ausnutzen, und durch Reverse Engineering des Patches können das zugrunde liegende Problem und seine ausnutzbaren Aspekte aufgedeckt werden. Informationssicherheitsanalysten, die den Magnet Goblin untersucht haben, stellen fest, dass diese Akteure schnell vorgehen, um neu entdeckte Schwachstellen auszunutzen, manchmal bereits einen Tag nach der Veröffentlichung eines Proof of Concept (PoC)-Exploits.
Die Hacker zielen auf eine Reihe von Geräten und Diensten ab, darunter Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE). -2023-41265, CVE-2023-41266, CVE-2023-48365) und Magento (CVE-2022-24086).
Der Magnet Goblin nutzt diese Schwachstellen, um Server mit maßgeschneiderter Malware wie NerbianRAT und MiniNerbian sowie einer angepassten Version des WARPWIRE-JavaScript-Stealers zu infiltrieren.
Die NerbianRAT kann zahlreiche bedrohliche Funktionen ausführen
Seit 2022 ist NerbianRAT für Windows den Forschern bekannt. Nun enthüllen sie jedoch, dass seit Mai 2022 eine grob kompilierte, aber effektive Linux-Variante im Umlauf ist, die von Magnet Goblin verwendet wird.
Bei der Initialisierung führt die Malware erste Aktionen aus, wie etwa das Sammeln von Systeminformationen wie Uhrzeit, Benutzername und Maschinenname, das Generieren einer Bot-ID, das Festlegen einer fest codierten IP-Adresse als primärer und sekundärer Host, das Einrichten des Arbeitsverzeichnisses und das Laden eines öffentlichen RSA-Schlüssels zur Verschlüsselung der Netzwerkkommunikation.
Anschließend lädt NerbianRAT seine Konfiguration, die Aktivitätszeiten (Arbeitszeit), Intervalle für die Kommunikation mit dem Command and Control (C2)-Server und andere Parameter vorgibt.
Der C2 kann der Malware einen von mehreren Befehlen zur Ausführung auf dem infizierten System erteilen:
- Fordern Sie zusätzliche Aktionen an
- Führen Sie einen Linux-Befehl in einem neuen Thread aus
Häufiges Patchen spielt eine entscheidende Rolle bei der Verhinderung von eintägigen Exploits. Darüber hinaus kann die Implementierung zusätzlicher Maßnahmen wie Netzwerksegmentierung, Endpunktschutz und Multi-Faktor-Authentifizierung die Auswirkungen potenzieller Verstöße verringern.
Die ergänzende Malware wurde zusammen mit NerbianRAT gelöscht
MiniNerbian ist eine optimierte Version von NerbianRAT, die hauptsächlich zur Befehlsausführung verwendet wird. Seine Funktionalität umfasst die Ausführung von Befehlen vom C2 und die Übertragung von Ergebnissen, die Aktualisierung von Aktivitätsplänen (für ganze Tage oder bestimmte Stunden) und die Anpassung von Konfigurationen. Im Gegensatz zum komplexeren NerbianRAT kommuniziert MiniNerbian mit dem C2 über HTTP statt über rohe TCP-Sockets, was möglicherweise darauf hindeutet, dass es in bestimmten Szenarien von Magnet Goblin als Wahl für Redundanz oder als verdeckte Hintertür dient.