imágenes falsas
Los investigadores han descubierto malware para Linux que circuló libremente durante al menos dos años antes de ser identificado como un ladrón de credenciales que se instala mediante la explotación de vulnerabilidades parcheadas recientemente.
El malware recientemente identificado es una variante para Linux de NerbianRAT, un troyano de acceso remoto descrito por primera vez en 2022 por investigadores de la empresa de seguridad Proofpoint. El viernes pasado, Checkpoint Research reveló que la versión de Linux existe desde al menos el mismo año, cuando se subió al sitio de identificación de malware VirusTotal. Checkpoint llegó a la conclusión de que Magnet Goblin (el nombre que utiliza la empresa de seguridad para rastrear al actor de amenazas con motivos financieros que utiliza el malware) lo ha instalado explotando “1-days”, que son vulnerabilidades parcheadas recientemente. Los atacantes en este escenario realizan ingeniería inversa de actualizaciones de seguridad o copian exploits de prueba de concepto asociados para usarlos contra dispositivos que aún no han instalado los parches.
Checkpoint también identificó MiniNerbian, una versión más pequeña de NerbianRAT para Linux que se utiliza para servidores de puerta trasera que ejecutan el servidor de comercio electrónico Magento, principalmente para su uso como servidores de comando y control a los que se conectan los dispositivos infectados por NerbianRAT. Investigadores de otros lugares han informado haber encontrado servidores que parecen haber sido comprometidos con MiniNerbian, pero Checkpoint Research parece haber sido el primero en identificar el binario subyacente.
“Magnet Goblin, cuyas campañas parecen tener motivaciones financieras, se apresuró a adoptar vulnerabilidades de 1 día para entregar su malware personalizado para Linux, NerbianRAT y MiniNerbian”, investigadores de Checkpoint. escribió
Checkpoint descubrió el malware para Linux mientras investigaba ataques recientes que explotan vulnerabilidades críticas en Ivanti Secure Connect, que han estado bajo explotación masiva desde principios de enero. En el pasado, Magnet Goblin instaló el malware explotando vulnerabilidades de un día en Magento, Qlink Sense y posiblemente Apache ActiveMQ.
Durante su investigación sobre la explotación de Ivanti, Checkpoint encontró la versión Linux de NerbianRAT en servidores comprometidos que estaban bajo el control de Magnet Goblin. URL incluidas:
http://94.156.71[.]115/largo
http://91.92.240[.]113/aparca2
http://45.9.149[.]215/aparca2
Las variantes de Linux se conectan nuevamente a la IP 172.86.66 controlada por el atacante[.]165.
Además de implementar NerbianRAT, Magnet Goblin también instaló una variante personalizada de malware rastreado como WarpWire, un malware ladrón. reportado recientemente por la empresa de seguridad Mandiant. La variante que encontró Checkpoint robó las credenciales de VPN y las envió a un servidor en el dominio miltonhouse.[.]nl.
Investigación de puntos de control
NerbianRAT Windows presentaba un código robusto que se esforzaba por ocultarse y evitar la ingeniería inversa por parte de rivales o investigadores.
“A diferencia de su equivalente de Windows, la versión de Linux apenas tiene medidas de protección”, dijo Checkpoint. “Está mal compilado con información de depuración DWARF, lo que permite a los investigadores ver, entre otras cosas, nombres de funciones y nombres de variables globales”.