Logiciel malveillant Linux NerbianRAT
Un groupe connu sous le nom de Magnet Goblin, qui est un acteur malveillant motivé par des raisons financières, utilise diverses vulnérabilités d'un jour pour infiltrer les serveurs accessibles au public. Ils se spécialisent dans le ciblage des systèmes Windows et Linux, en déployant des logiciels malveillants personnalisés une fois à l'intérieur du système ciblé. Ces vulnérabilités sont généralement des failles d'un jour et des faiblesses qui ont été divulguées publiquement avec des correctifs déjà disponibles. Pour exploiter efficacement ces failles, les acteurs malveillants doivent agir rapidement avant que les cibles potentielles puissent mettre en œuvre les mises à jour de sécurité publiées.
Table des matières
Le Magnet Goblin exploite un grand nombre de vulnérabilités pour supprimer une variante personnalisée de NerbianRAT
En règle générale, les exploits ne sont pas facilement accessibles immédiatement après la divulgation d'une faille. Cependant, certaines vulnérabilités sont relativement faciles à exploiter, et la rétro-ingénierie du correctif peut révéler le problème sous-jacent et ses aspects exploitables. Les analystes de la sécurité de l'information qui ont étudié Magnet Goblin notent que ces acteurs agissent rapidement pour exploiter les vulnérabilités nouvellement révélées, parfois dans la journée suivant la publication d'un exploit de preuve de concept (PoC).
Les pirates ciblent une gamme d'appareils et de services, notamment Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) et Magento (CVE-2022-24086).
Le Magnet Goblin utilise ces vulnérabilités pour infiltrer les serveurs avec des logiciels malveillants personnalisés, tels que NerbianRAT et MiniNerbian, ainsi qu'une version personnalisée du voleur JavaScript WARPWIRE.
Le NerbianRAT peut remplir de nombreuses fonctions menaçantes
Depuis 2022, les chercheurs connaissent NerbianRAT pour Windows. Cependant, ils révèlent maintenant qu’une variante Linux grossièrement compilée mais efficace utilisée par Magnet Goblin circule depuis mai 2022.
Lors de l'initialisation, le logiciel malveillant entreprend des actions initiales, telles que la collecte d'informations système telles que l'heure, le nom d'utilisateur et le nom de la machine, la génération d'un identifiant de robot, la définition d'une adresse IP codée en dur comme hôtes principal et secondaire, l'établissement du répertoire de travail et le chargement d'une clé RSA publique. pour crypter les communications réseau.
Suite à cela, NerbianRAT charge sa configuration, qui dicte les temps d'activité (temps de travail), les intervalles de communication avec le serveur de commande et de contrôle (C2) et d'autres paramètres.
Le C2 peut envoyer l'une des nombreuses commandes au logiciel malveillant pour qu'il soit exécuté sur le système infecté :
- Demander des actions supplémentaires
- Exécuter une commande Linux dans un nouveau thread
Des correctifs fréquents jouent un rôle essentiel dans la prévention des exploits d'un jour. De plus, la mise en œuvre de mesures supplémentaires telles que la segmentation du réseau, la protection des points finaux et l'authentification multifacteur peut réduire l'impact des violations potentielles.
Le logiciel malveillant supplémentaire abandonné aux côtés de NerbianRAT
MiniNerbian est une version simplifiée de NerbianRAT, principalement utilisée pour l'exécution de commandes. Sa fonctionnalité englobe l'exécution des commandes du C2 et la transmission des résultats, la mise à jour des plannings d'activités (pour des journées complètes ou des heures spécifiques) et l'ajustement des configurations. Contrairement au NerbianRAT plus complexe, MiniNerbian communique avec le C2 via HTTP au lieu de sockets TCP bruts, indiquant potentiellement qu'il sert de choix de redondance ou de porte dérobée secrète dans des scénarios spécifiques de Magnet Goblin.