Никогда ранее не встречавшееся вредоносное ПО для Linux устанавливается с помощью однодневных эксплойтов

Исследователи обнаружили вредоносное ПО для Linux, которое циркулировало в дикой природе в течение как минимум двух лет, прежде чем было идентифицировано как похититель учетных данных, установленный с использованием недавно исправленных уязвимостей.

Недавно выявленное вредоносное ПО представляет собой Linux-вариант NerbianRAT, трояна удаленного доступа. впервые описан в 2022 году исследователи охранной фирмы Proofpoint. В прошлую пятницу компания Checkpoint Research обнаружила, что версия для Linux существует как минимум с того же года, когда она была загружена на сайт идентификации вредоносных программ VirusTotal. Далее Checkpoint пришла к выводу, что Magnet Goblin — имя, которое охранная фирма использует для отслеживания финансово мотивированного злоумышленника, использующего вредоносное ПО, — установила его, используя «1-days», недавно исправленные уязвимости. В этом сценарии злоумышленники перепроектируют обновления безопасности или копируют связанные с ними эксплойты для проверки концепции для использования против устройств, на которых еще не установлены исправления.

Checkpoint также обнаружил MiniNerbian, уменьшенную версию NerbianRAT для Linux, которая используется для бэкдор-серверов, на которых работает сервер электронной коммерции Magento, в первую очередь для использования в качестве серверов управления и контроля, к которым подключаются устройства, зараженные NerbianRAT. Исследователи из других стран сообщили о том, что столкнулись с серверами, которые, по-видимому, были взломаны с помощью MiniNerbian, но компания Checkpoint Research, похоже, была первой, кто идентифицировал основной двоичный файл.

«Magnet Goblin, чьи кампании кажутся финансово мотивированными, быстро применили однодневные уязвимости для доставки своих специальных вредоносных программ для Linux, NerbianRAT и MiniNerbian», — исследователи Checkpoint написал. «Эти инструменты работали незаметно, поскольку в основном они находятся на периферийных устройствах. Это часть продолжающейся тенденции, когда субъекты угроз нацеливаются на районы, которые до сих пор оставались незащищенными».

Checkpoint обнаружила вредоносное ПО для Linux при исследовании недавних атак, использующих критические уязвимости в Ivanti Secure Connect, которые с начала января подвергаются массовой эксплуатации. В прошлом Magnet Goblin устанавливал вредоносное ПО, используя однодневные уязвимости в Magento, Qlink Sense и, возможно, Apache ActiveMQ.

В ходе расследования эксплуатации Ivanti компания Checkpoint обнаружила версию NerbianRAT для Linux на скомпрометированных серверах, находящихся под контролем Magnet Goblin. Включены URL-адреса:

http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/апархе2

Варианты Linux подключаются обратно к контролируемому злоумышленником IP-адресу 172.86.66.[.]165.

Помимо развертывания NerbianRAT, Magnet Goblin также установил специальный вариант вредоносного ПО, отслеживаемого как WarpWire, вредоносное ПО-вор. недавно сообщили охранной фирмой Mandiant. Вариант, с которым столкнулся Checkpoint, украл учетные данные VPN и отправил их на сервер в домене miltonhouse.[.]нл.

NerbianRAT Windows содержал надежный код, который изо всех сил старался скрыть себя и предотвратить обратное проектирование со стороны конкурентов или исследователей.

«В отличие от своего аналога для Windows, версия для Linux практически не имеет каких-либо защитных мер», — заявили в Checkpoint. «Он небрежно скомпилирован с отладочной информацией DWARF, что позволяет исследователям просматривать, среди прочего, имена функций и имена глобальных переменных».