Investigadores han descubierto malware para Linux que circuló en el ciberespacio durante al menos dos años antes de ser identificado como un ladrón de credenciales que se insatla mediante la explotación de vulnerabilidades recientemente parcheadas.
El malware recién identificado es una variante de Linux de NerbianRAT, un troano de acceso remoto descrito por primera vez en 2022. El viernes pasado, Checkpoint Research reveló que la versión de Linux ha existido desde al menos el mismo año, cuando fue cargada en el sitio de identificación de malware VirusTotal. Checkpoint concluyó que Magnet Goblin, el nombre que la firma de seguridad utiliza el malware, lo que ha instalado explotando “Zero-Days”, que son vulnerabilidades recientemente parcheadas.
Magnet Goblin ha sido rápido en adoptar las vulnerabilidades de Zero-Day para entregar malware personalizado para Linux, NerbianRAT y MiniNerbian, según los investigadores de CheckPoint. Estas herramientas han operado bajo el radar ya que residen principalmente en dispositivos perimetrales. Esto es parte de una tendencia continua de los actores de amenazas a apuntar a áreas que hasta ahora han quedado desprotegidas.
El malware Linux fue descubierto por Checkpoint mientras investigaba ataques recientes que explotaban vulnerabilidades críticas en Ivanti Secure Connect. En el pasado, Magnet Goblin ha instalado el malware explotando vulnerabilidades de Zero-Day en Magneto,Qlink Sense y posiblemente Apache ActiveMQ.
Durante su investigación sobre la explotación de Ivanti, Checkpoint encontró la versión de Linux de NerbianRAT en sus servidores comprometidos que estaban bajo el contro de Magnet Goblbin. Algunas de las URL incluyen:
- http://94.156.71[.]115/lxrt
- http://91.92.240[.]113/aparche2
- http://45.9.149[.]215/aparche2
Las variantes de Linux se conectas de nuevo a la IP controlada por el atacante 172.86.66[.]165.
Además de desplegar NerbianRAT, Magnet también instaló una variante personalizada de malware rastreada como WarpWire, un ladrón de credenciales informado recientemente por la firma de seguridad Mandiant. La variante encontrada por Checkpoint Robaba credenciales de VPN y las enviaba a un servidor en el dominio miltonhouse[.]nl.
