NerbianRAT Linux マルウェア

Magnet ゴブリンとして知られるグループは、金銭を目的とした脅威アクターであり、さまざまな 1 日限りの脆弱性を利用して、一般にアクセスできるサーバーに侵入します。彼らは Windows と Linux システムの両方をターゲットにすることに特化しており、カスタマイズされたマルウェアをターゲット システム内に展開します。これらの脆弱性は通常、1 日限りの欠陥であり、すでに利用可能なパッチによって一般に公開されている弱点です。これらの欠陥を効果的に悪用するには、潜在的なターゲットがリリースされたセキュリティ更新プログラムを実装する前に、脅威アクターが迅速に行動する必要があります。

マグネット ゴブリンは多数の脆弱性を悪用してカスタム NerbianRAT バリアントをドロップします

通常、脆弱性が公開されてもすぐにエクスプロイトに簡単にアクセスできるわけではありません。ただし、特定の脆弱性は比較的悪用が容易であり、パッチをリバースエンジニアリングすると、根本的な問題とその悪用可能な側面が明らかになります。マグネット ゴブリンを研究している情報セキュリティ アナリストは、これらの攻撃者が新たに明らかになった脆弱性を悪用するために迅速に行動し、場合によっては概念実証 (PoC) エクスプロイトがリリースされてから 1 日以内に行動することに注目しています。

ハッカーは、Ivanti Connect Secure (CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893)、Apache ActiveMQ、ConnectWise ScreenConnect、Qlik Sense (CVE) など、さまざまなデバイスとサービスをターゲットにしています。 -2023-41265、CVE-2023-41266、CVE-2023-48365) および Magento (CVE-2022-24086)。

Magnet ゴブリンはこれらの脆弱性を利用して、 NerbianRATや MiniNerbian などのカスタマイズされたマルウェアと WARPWIRE JavaScript スティーラーのカスタマイズされたバージョンをサーバーに侵入させます。

NerbianRAT は数多くの脅威機能を実行できます

2022 年以来、研究者は Windows 用の NerbianRAT を認識していました。しかし今回、Magnet ゴブリンが利用する、粗雑にコンパイルされているものの効果的な Linux 亜種が 2022 年 5 月から出回っていることが明らかになりました。

初期化時に、マルウェアは、時間、ユーザー名、マシン名などのシステム情報の収集、ボット ID の生成、プライマリおよびセカンダリ ホストとしてのハードコードされた IP アドレスの設定、作業ディレクトリの確立、公開 RSA キーのロードなどの初期アクションを実行します。ネットワーク通信を暗号化するためのものです。

これに続いて、NerbianRAT は、アクティビティ時間 (作業時間)、コマンド アンド コントロール (C2) サーバーとの通信間隔、およびその他のパラメータを決定する設定を読み込みます。

C2 は、感染したシステム上でマルウェアを実行するために、いくつかのコマンドのうちの 1 つをマルウェアに発行する可能性があります。

• 追加のアクションをリクエストする
• 新しいスレッドで Linux コマンドを実行する

パッチを頻繁に適用することは、1 日限りのエクスプロイトを防ぐ上で重要な役割を果たします。さらに、ネットワークのセグメンテーション、エンドポイント保護、多要素認証などの追加対策を実装すると、潜在的な侵害の影響を軽減できます。

NerbianRAT とともに追加のマルウェアがドロップされる

MiniNerbian は NerbianRAT の合理化されたバージョンで、主にコマンドの実行に使用されます。その機能には、C2 からのコマンドの実行と結果の送信、アクティビティ スケジュールの更新 (全日または特定の時間)、構成の調整が含まれます。より複雑な NerbianRAT とは異なり、MiniNerbian は生の TCP ソケットではなく HTTP を介して C2 と通信します。これは、MiniNerbian が冗長性の選択肢として、または、Magnet ゴブリンによる特定のシナリオにおける秘密のバックドアとして機能することを示している可能性があります。