ゲッティイメージズ
研究者らは、最近パッチが適用された脆弱性を悪用してインストールされる資格情報スティーラーであると特定されるまで、少なくとも 2 年間にわたって世に出回っていた Linux マルウェアを発見しました。
新たに特定されたマルウェアは、リモート アクセス トロイの木馬である NerbianRAT の Linux 亜種です。 最初に説明した 2022 年にセキュリティ企業 Proofpoint の研究者によって発表されました。 先週金曜日、Checkpoint Research は、Linux バージョンが VirusTotal マルウェア識別サイトにアップロードされた少なくとも同じ年から存在していたことを明らかにしました。 チェックポイントはさらに、Magnet ゴブリン(マルウェアを使用する金銭目的の攻撃者を追跡するためにセキュリティ会社が使用している名前)が、最近パッチが適用された脆弱性である「1-day」を悪用してマルウェアをインストールしたと結論付けた。 このシナリオの攻撃者は、パッチをまだインストールしていないデバイスに対して使用するために、セキュリティ更新プログラムをリバース エンジニアリングするか、関連する概念実証エクスプロイトをコピーします。
Checkpoint はまた、Linux 用 NerbianRAT の小型バージョンである MiniNerbian を特定しました。これは、Magento e コマース サーバーを実行するバックドア サーバーに使用され、主に NerbianRAT に感染したデバイスが接続するコマンド アンド コントロール サーバーとして使用されます。 他の研究者も、MiniNerbian によって侵害されたと思われるサーバーに遭遇したと報告していますが、基礎となるバイナリを最初に特定したのは Checkpoint Research のようです。
「Magnet ゴブリンのキャンペーンは金銭目的であるように見えますが、カスタム Linux マルウェアである NerbianRAT および MiniNerbian を配信するために、1 日限りの脆弱性をすぐに利用しています」とチェックポイントの研究者は述べています。 書きました。 「これらのツールは主にエッジデバイス上に存在するため、目立たずに動作していました。 これは、脅威アクターがこれまで保護されていない領域を標的にするという継続的な傾向の一部です。」
チェックポイントは、これを悪用する最近の攻撃を調査中に Linux マルウェアを発見しました。 重大な脆弱性 Ivanti Secure Connect では、1 月初旬から大量悪用が行われています。 過去に、Magnet ゴブリンは、Magento、Qlink Sense、およびおそらく Apache ActiveMQ の 1 日限りの脆弱性を悪用してマルウェアをインストールしました。
Ivanti の悪用に関する調査の過程で、Checkpoint は、Magnet ゴブリンの制御下にある侵害されたサーバー上で Linux バージョンの NerbianRAT を発見しました。 含まれる URL:
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/アパルシェ2
http://45.9.149[.]215/アパルシェ2
Linux の亜種は、攻撃者が制御する IP 172.86.66 に接続し直します。[.]165.
Magnet ゴブリンは、NerbianRAT の導入に加えて、窃盗マルウェアの一部である WarpWire として追跡されるマルウェアのカスタム亜種もインストールしました。 最近報告された セキュリティ会社マンディアントによる。 Checkpoint が遭遇した亜種は VPN 認証情報を盗み、ドメイン miltonhouse のサーバーに送信しました。[.]nl.
チェックポイントリサーチ
NerbianRAT Windows は、自分自身を隠し、ライバルや研究者によるリバース エンジニアリングを防ぐために苦労した堅牢なコードを備えていました。
「同等の Windows とは異なり、Linux バージョンには保護対策がほとんどありません」とチェックポイント氏は述べています。 「これは DWARF デバッグ情報を使用してずさんにコンパイルされており、研究者は特に関数名やグローバル変数名を確認できます。」
