Getty-afbeeldingen
Onderzoekers ontdekten Linux-malware die al minstens twee jaar in het wild circuleerde voordat deze werd geïdentificeerd als een inloggegevensdief die werd geïnstalleerd door gebruik te maken van recent gepatchte kwetsbaarheden.
De nieuw ontdekte malware is een Linux-variant van NerbianRAT, een trojan voor externe toegang die voor het eerst werd beschreven in 2022 door onderzoekers van beveiligingsbedrijf Proofpoint. Afgelopen vrijdag ontdekte Checkpoint Research dat de Linux-versie al bestaat sinds minstens hetzelfde jaar waarin deze werd geüpload naar de VirusTotal-malware-identificatiesite. Checkpoint concludeerde verder dat Magnet Goblin – de naam die het beveiligingsbedrijf gebruikt om een financieel gemotiveerde bedreigingsacteur te volgen die malware gebruikt – het installeerde met behulp van ‘1-days’, wat recentelijk gepatchte kwetsbaarheden zijn. Aanvallers in dit scenario reverse-engineeren beveiligingsupdates of kopiëren gerelateerde proof-of-concept-exploits voor gebruik tegen apparaten waarop nog patches moeten worden geïnstalleerd.
Checkpoint identificeerde ook MiniNerbian, een kleinere versie van NerbianRAT voor Linux die wordt gebruikt voor achterdeurservers waarop de Magento e-commerceserver draait, voornamelijk voor gebruik als commando- en controleservers waarmee met NerbianRAT geïnfecteerde apparaten verbinding maken. Onderzoekers elders hebben gemeld dat ze servers zijn tegengekomen die gecompromitteerd lijken te zijn met MiniNerbian, maar Checkpoint Research lijkt de eerste te zijn geweest die het onderliggende binaire bestand heeft geïdentificeerd.
“Magnet Goblin, wiens campagnes financieel gemotiveerd lijken te zijn, heeft snel oude kwetsbaarheden overgenomen om zijn aangepaste Linux-malware, NerbianRAT en MiniNerbian, te leveren”, schreven Checkpoint-onderzoekers. “Deze tools opereren onder de radar omdat ze zich meestal op edge-apparaten bevinden. Dit maakt deel uit van een aanhoudende trend onder dreigingsactoren om zich te richten op gebieden die voorheen onbeschermd waren.”
Checkpoint ontdekte de Linux-malware tijdens onderzoek naar recente aanvallen waarbij gebruik werd gemaakt van kritieke kwetsbaarheden in Ivanti Secure Connect, die sinds begin januari massaal worden uitgebuit. In het verleden heeft Magnet Goblin malware geïnstalleerd met behulp van eendaagse kwetsbaarheden in Magento, Qlink Sense en mogelijk Apache ActiveMQ.
Tijdens het onderzoek naar de Ivanti-exploit vond Checkpoint een Linux-versie van NerbianRAT op gecompromitteerde servers die werden beheerd door Magnet Goblin. URL’s inbegrepen:
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/aparche2
Linux-varianten vallen terug op IP 172.86.66, dat wordt beheerd door de aanvaller[.]165.
Naast de inzet van NerbianRAT installeerde Magnet Goblin ook een aangepaste variant van de malware die wordt bijgehouden als WarpWire, een stealth-malware die onlangs werd gerapporteerd door beveiligingsbedrijf Mandiant. Variant Checkpoint ontdekte gestolen VPN-gegevens en stuurde deze naar een server op het Miltonhouse-domein[.]nl.
Checkpoint-onderzoek
NerbianRAT Windows had robuuste code die zichzelf probeerde te verbergen en reverse engineering door rivalen of onderzoekers te voorkomen.
“In tegenstelling tot zijn Windows-equivalent kent de Linux-versie nauwelijks enige beveiliging”, aldus Checkpoint. “Het is in de verkeerde volgorde samengesteld met DWARF-foutopsporingsinformatie, waardoor onderzoekers onder meer functienamen en globale variabelenamen kunnen zien.”