I ricercatori di Checkpoint hanno scoperto un nuovo malware Linux che ha agito indisturbato per almeno due anni. Si chiama NerbianRAT e sembra essere la variante Linux di un trojan per l’accesso remoto già noto in ambiente Windows, dov’è apparso per la prima volta nel 2022. La variante Linux esisterebbe dallo stesso anno e sfrutta vulnerabilità 1-day, ossia corrette di recente, per la diffusione.
Il gruppo Magnet Goblin avrebbe sfruttato il malware e una sua variante più piccola, MiniNerbian, per portare avanti diversi attacchi. MiniNerbian è stato usato per installare backdoor nei server del servizio di e-commerce Magento, per usarli come server di comando e controllo a cui far connettere i dispositivi infettati con NerbianRAT.
Il malware raccoglie informazioni di base, genera un ID bot e carica indirizzi IP hardcoded durante la sua inizializzazione, dopodiché carica la sua configurazione da un file crittografato e inizia a comunicare col suo server C2; la variante Linux di NerbianRAT usa socket TCP per inviare dati criptati AES al server e, a seconda dei dati trasmessi, può anche adottare la crittografia RSA. In base ai comandi ricevuti dal server C2, il malware può eseguire comandi Linux, aggiornare la configurazione o eseguire altre azioni.
MiniNerbian invece sembra essere una versione semplificata di NerbianRAT, con cui condivide buona parte del codice sorgente. Si tratta però di un malware diverso, capace di fare solo tre cose: eseguire comandi, aggiornare la flag temporale e aggiornare la configurazione del backdoor.
I malintenzionati del gruppo sembrano aver adottato rapidamente le vulnerabilità 1-day per distribuire il malware, che è stato scoperto anche in recenti attacchi che sfruttano vulnerabilità critiche in Ivanti Secure Connect; i ricercatori di Checkpoint hanno trovato NerbianRAT su server compromessi, sotto il controllo di Magnet Goblin. Il gruppo avrebbe creato anche WarpWire, un malware che ruba credenziali VPN.
A differenza della versione Windows, decisamente più raffinata, NerbianRAT per Linux è privo di misure protettive degne di nota. Stando al report, il malware è compilato in maniera approssimativa e con informazioni di debug DWARF, che permettono ai ricercatori di visualizzare anche i nomi delle funzioni e delle variabili globali.
NerbianRAT ha agito praticamente indisturbato per due anni in ambiente Linux, permettendo ai malintenzionati di rubare i dati degli utenti ignari. Il report di Checkpoint segnala anche gli indicatori che permettono di capire se si è stati vittima della campagna di Magnet Goblin, in modo da sapere se i propri dati sono stati messi a rischio, oppure no.
