Μια ομάδα hacking με οικονομικά κίνητρα που ονομάζεται Magnet Goblin, χρησιμοποιεί διάφορες ευπάθειες 1-day για να παραβιάσει διακομιστές που επηρεάζουν δημόσιους χρήστες και να αναπτύξει προσαρμοσμένο malware σε συστήματα Windows και Linux.
Δείτε επίσης: Το GTPDOOR Linux malware εκμεταλλεύεται τα δίκτυα GPRS
Τα σφάλματα 1-day αναφέρονται σε ευπάθειες που αποκαλύφθηκαν δημόσια και για τις οποίες έχει κυκλοφορήσει μια ενημέρωση κώδικα. Οι κακόβουλοι παράγοντες που θέλουν να εκμεταλλευτούν αυτά τα ελαττώματα πρέπει να το κάνουν γρήγορα προτού ένας στόχος μπορέσει να εφαρμόσει τις ενημερώσεις ασφαλείας.
Οι αναλυτές της Check Point που εντόπισαν το Magnet Goblin, αναφέρουν ότι αυτοί οι χάκερς εκμεταλλεύονται γρήγορα τα τρωτά σημεία που αποκαλύφθηκαν πρόσφατα, σε ορισμένες περιπτώσεις εκμεταλλευόμενοι ελαττώματα 1-day μετά την κυκλοφορία ενός PoC, για να διανείμουν Linux Malware.
Ορισμένες από τις συσκευές ή τις υπηρεσίες που στοχεύουν οι χάκερ είναι οι Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893., Apache ActiveMQ, ConnectWise ScreenConnect (, -2023-41265, CVE-2023-41266, CVE-2023-48365) και Magento (CVE-2022-24086).
Το Magnet Goblin εκμεταλλεύεται τα ελαττώματα για να μολύνει διακομιστές με προσαρμοσμένο κακόβουλο λογισμικό, ιδιαίτερα το NerbianRAT και το MiniNerbian, καθώς και μια προσαρμοσμένη παραλλαγή του WARPWIRE JavaScript stealer.
Το NerbianRAT για Windows είναι γνωστό από το 2022, αλλά η Check Point αναφέρει τώρα ότι μια ακατάλληλα μεταγλωττισμένη αλλά αποτελεσματική παραλλαγή του malware για Linux, που χρησιμοποιείται από τη Magnet Goblin κυκλοφορεί από τον Μάιο του 2022.
Κατά την πρώτη εκκίνηση, το κακόβουλο λογισμικό εκτελεί προκαταρκτικές ενέργειες, συμπεριλαμβανομένης της συλλογής πληροφοριών συστήματος όπως η ώρα, το όνομα χρήστη και το όνομα μηχανής, η δημιουργία ενός αναγνωριστικού bot, ο καθορισμός μιας διεύθυνσης IP με σκληρό κώδικα ως κύριος και δευτερεύων κεντρικός υπολογιστής, ο καθορισμός του καταλόγου εργασίας και η φόρτωση ενός δημόσιου κλειδιού RSA για την κρυπτογράφηση (AES) επικοινωνίας δικτύου.
Μετά από αυτό, το NerbianRAT φορτώνει τη διαμόρφωσή του, η οποία καθορίζει τους χρόνους δραστηριότητας (χρόνος εργασίας), τα χρονικά διαστήματα για την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2) και άλλες παραμέτρους.
Δείτε ακόμα: Ανακοίνωση της εταιρείας για το Free Download Manager site που διέσπειρε Linux malware
Το C2 μπορεί να στείλει μία από τις ακόλουθες ενέργειες στο κακόβουλο λογισμικό για εκτέλεση στο μολυσμένο σύστημα:
- Εκτέλεση περισσότερων ενεργειών
- Εκτέλεση εντολής Linux σε ένα νέο νήμα
- Αποστολή αποτελέσματος εντολής και καθαρισμός του αρχείου
- Άμεση εκτέλεση μιας εντολής Linux
- Πλήρης αδρανοποίηση
- Τροποποίηση διαστήματος σύνδεσης
- Προσαρμογή και αποθήκευση των ρυθμίσεων χρόνου εργασίας
- Επιστροφή αποτελεσμάτων χρονισμών αδράνειας, διαμόρφωσης ή εντολών
- Ενημέρωση μιας συγκεκριμένης μεταβλητής διαμόρφωσης
- Ανανέωση buffer εντολών για εντολές εκτέλεσης C2
Το MiniNerbian είναι μια απλοποιημένη έκδοση του NerbianRAT, η οποία χρησιμοποιείται κυρίως για την εκτέλεση εντολών και υποστηρίζει τις ακόλουθες ενέργειες:
- Εκτέλεση της εντολής του C2 και επιστροφή αποτελεσμάτων
- Ενημέρωση προγράμματος δραστηριοτήτων (ολοήμερη ή συγκεκριμένες ώρες)
- Ενημέρωση διαμόρφωσης
Το MiniNerbian επικοινωνεί με το C2 μέσω HTTP, διαφοροποιώντας το από το πιο σύνθετο NerbianRAT, το οποίο χρησιμοποιεί ακατέργαστες υποδοχές TCP για επικοινωνία.
Η Check Point λέει ότι ο εντοπισμός συγκεκριμένων απειλών όπως οι επιθέσεις της Magnet Goblin μεταξύ του τεράστιου όγκου δεδομένων εκμετάλλευσης 1-day, όπως στην περίπτωση του Linux malware, είναι δύσκολος, επιτρέποντας σε αυτές τις ομάδες να κρύβονται σε κοινή θέα στο χάος που ακολουθεί την αποκάλυψη ελαττωμάτων.
Δείτε επίσης: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Πώς μπορούμε να προστατευτούμε από τα 1-day flaws’;
Για να προστατευτείτε από ελαττώματα 1-day flaw, όπως αυτά που εκμεταλλεύεται η Magnet Goblin για να διανέμει Linux malware, πρέπει πρώτα να κατανοήσουμε την σημασία της ενημέρωσης του λογισμικού μας. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις για γνωστές ευπάθειες, προλαμβάνοντας έτσι την εκμετάλλευσή τους. Επιπλέον, η χρήση εργαλείων ασφαλείας, όπως τα προγράμματα antivirus και τα συστήματα προστασίας από επιθέσεις, μπορεί να βοηθήσει στην ανίχνευση και την πρόληψη των επιθέσεων που εκμεταλλεύονται αυτές τις ευπάθειες. Τέλος, η εφαρμογή των βέλτιστων πρακτικών ασφαλείας, όπως η χρήση ισχυρών κωδικών πρόσβασης, η προστασία των δικτυακών συνδέσεων και η περιορισμένη χρήση δικαιωμάτων διαχειριστή, μπορεί να μειώσει την πιθανότητα επιτυχούς επίθεσης.
Πηγή: bleepingcomputer
