Malware Linux nunca antes visto é instalado usando explorações de 1 dia
- Sexta, 15th Março, 2024
- 20:39pm
A descoberta significa que o NerbianRAT é uma plataforma cruzada usada por grupos de ameaças com fins lucrativos.
Os pesquisadores descobriram malware para Linux que circulou por pelo menos dois anos antes de ser identificado como um ladrão de credenciais instalado pela exploração de vulnerabilidades recentemente corrigidas.
O malware recém-identificado é uma variante Linux do NerbianRAT, um Trojan de acesso remoto descrito pela primeira vez em 2022 por pesquisadores da empresa de segurança Proofpoint. Na última sexta-feira, a Checkpoint Research revelou que a versão Linux existe pelo menos desde o mesmo ano, quando foi carregada no site de identificação de malware VirusTotal. A Checkpoint concluiu que o Magnet Goblin – o nome que a empresa de segurança usa para rastrear o ator de ameaça com motivação financeira que usa o malware – o instalou explorando “1-days”, que são vulnerabilidades recentemente corrigidas. Os invasores neste cenário fazem engenharia reversa de atualizações de segurança ou copiam explorações de prova de conceito associadas, para uso em dispositivos que ainda não instalaram os patches.
A Checkpoint também identificou o MiniNerbian, uma versão menor do NerbianRAT para Linux que é usada para servidores backdoor que executam o servidor de comércio eletrônico Magento, principalmente para uso como servidores de comando e controle aos quais os dispositivos infectados pelo NerbianRAT se conectam. Pesquisadores de outros lugares relataram ter encontrado servidores que parecem ter sido comprometidos com o MiniNerbian, mas a Checkpoint Research parece ter sido a primeira a identificar o binário subjacente.
“Magnet Goblin, cujas campanhas parecem ter motivação financeira, foi rápido em adotar vulnerabilidades de 1 dia para entregar seu malware Linux personalizado, NerbianRAT e MiniNerbian”, escreveram os pesquisadores da Checkpoint . “Essas ferramentas têm operado sob o radar, pois residem principalmente em dispositivos de ponta. Isto faz parte de uma tendência contínua de os agentes de ameaças visarem áreas que até agora foram deixadas desprotegidas.”
A Checkpoint descobriu o malware Linux enquanto pesquisava ataques recentes que exploram vulnerabilidades críticas no Ivanti Secure Connect, que estão sob exploração em massa desde o início de janeiro. No passado, Magnet Goblin instalou o malware explorando vulnerabilidades de um dia no Magento, Qlink Sense e possivelmente no Apache ActiveMQ.
No decorrer da investigação sobre a exploração do Ivanti, a Checkpoint encontrou a versão Linux do NerbianRAT em servidores comprometidos que estavam sob o controle do Magnet Goblin. URLs incluídos:
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/aparche2
As variantes do Linux se conectam novamente ao IP 172.86.66[.]165 controlado pelo invasor.
Além de implantar o NerbianRAT, o Magnet Goblin também instalou uma variante personalizada de malware rastreada como WarpWire, um malware ladrão relatado recentemente pela empresa de segurança Mandiant. A variante que o Checkpoint encontrou roubou credenciais de VPN e as enviou para um servidor no domínio miltonhouse[.]nl.
O NerbianRAT Windows apresentava um código robusto que se esforçava para se esconder e evitar a engenharia reversa por parte de rivais ou pesquisadores.
“Ao contrário de seu equivalente no Windows, a versão Linux quase não possui medidas de proteção”, disse Checkpoint. “Ele é compilado de maneira descuidada com informações de depuração DWARF, o que permite aos pesquisadores visualizar, entre outras coisas, nomes de funções e nomes de variáveis globais.”
Leia mais: arstechnica.com
