Malware NerbianRAT para Linux
Un grupo conocido como Magnet Goblin, que es un actor de amenazas con motivación financiera, emplea varias vulnerabilidades de 1 día para infiltrarse en servidores accesibles al público. Se especializan en apuntar a sistemas Windows y Linux, implementando malware personalizado una vez dentro del sistema objetivo. Estas vulnerabilidades suelen ser fallas de 1 día y son debilidades que se han divulgado públicamente con parches ya disponibles. Para explotar eficazmente estas fallas, los actores de amenazas deben actuar con rapidez antes de que los objetivos potenciales puedan implementar las actualizaciones de seguridad publicadas.
Tabla de contenido
Magnet Goblin explota una gran cantidad de vulnerabilidades para lanzar una variante NerbianRAT personalizada
Por lo general, no se puede acceder fácilmente a los exploits inmediatamente después de que se revela una falla. Sin embargo, ciertas vulnerabilidades son relativamente fáciles de explotar y la aplicación de ingeniería inversa al parche puede revelar el problema subyacente y sus aspectos explotables. Los analistas de seguridad de la información que han estado investigando Magnet Goblin señalan que estos actores actúan rápidamente para explotar vulnerabilidades recientemente reveladas, a veces dentro de un día después de que se lanza una prueba de concepto (PoC).
Los piratas informáticos se dirigen a una variedad de dispositivos y servicios, incluidos Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) y Magento (CVE-2022-24086).
Magnet Goblin utiliza estas vulnerabilidades para infiltrarse en servidores con malware personalizado, como NerbianRAT y MiniNerbian, junto con una versión personalizada del ladrón de JavaScript WARPWIRE.
El NerbianRAT puede realizar numerosas funciones amenazantes
Desde 2022, los investigadores conocen NerbianRAT para Windows. Sin embargo, ahora revelan que una variante de Linux toscamente compilada pero efectiva utilizada por Magnet Goblin ha estado circulando desde mayo de 2022.
Tras la inicialización, el malware emprende acciones iniciales, como recopilar información del sistema como la hora, el nombre de usuario y el nombre de la máquina, generar una ID de bot, configurar una dirección IP codificada como host principal y secundario, establecer el directorio de trabajo y cargar una clave RSA pública. para cifrar la comunicación de red.
Después de esto, NerbianRAT carga su configuración, que dicta los tiempos de actividad (tiempo de trabajo), los intervalos de comunicación con el servidor de comando y control (C2) y otros parámetros.
El C2 puede emitir uno de varios comandos al malware para que lo ejecute en el sistema infectado:
- Solicitar acciones adicionales
- Ejecutar un comando de Linux en un nuevo hilo
La aplicación frecuente de parches juega un papel vital en la prevención de exploits de 1 día. Además, implementar medidas adicionales como segmentación de red, protección de terminales y autenticación multifactor puede reducir el impacto de posibles infracciones.
El malware complementario apareció junto con NerbianRAT
MiniNerbian es una versión optimizada de NerbianRAT, empleada principalmente para la ejecución de comandos. Su funcionalidad abarca ejecutar comandos desde el C2 y transmitir resultados, actualizar cronogramas de actividades (para días completos u horas específicas) y ajustar configuraciones. A diferencia del NerbianRAT más complejo, MiniNerbian se comunica con el C2 a través de HTTP en lugar de sockets TCP sin formato, lo que potencialmente indica que sirve como una opción para redundancia o como una puerta trasera encubierta en escenarios específicos por parte de Magnet Goblin.