Un nuevo malware desconocido pone en jaque la seguridad de Linux
- NerbianART robaba credenciales instalándose mediante la explotación de vulnerabilidades recientemente parcheadas.
- De acceso remoto, fue descubierto en 2022 por Proofpoint
Depositphotos
Ser uno de los sistemas operativos más importantes del mundo tiene sus riesgos. Una vez más, Linux ha sido el objetivo de un malware recientemente descubierto que ha estado activo al menos durante dos años.
Éste robaba credenciales instalándose mediante la explotación de vulnerabilidades recientemente parcheadas. Se trata del troyano NerbianRAT, de acceso remoto, y que fue descrito por primera vez en 2022 por la empresa de ciberseguridad Proofpoint.
Magnet Goblin, nombrado de esta manera por Checkpoint en su blog, ha sido uno de los más rápidos en capitalizar dicho potencial. Un día después del lanzamiento de un exploit de prueba de concepto, los atacantes disponían ya del malware para explotarlo.
Checkpoint descubrió el malware para Linux mientras investigaba ataques recientes que explotan vulnerabilidades críticas en Ivanti Secure Connect, y que han estado bajo explotación masiva desde principios de enero.
En el curso de la investigación sobre Ivanti, Checkpoint encontró la versión de Linux de NerbianRAT en servidores comprometidos que estaban bajo el control de Magnet Goblin.
Cabe tener en cuenta que Magnet Goblin, que hasta ahora no tenía nombre, ha estado explotando los servicios de un solo día o 1-day en plataformas de comercio electrónico como Magento, en el servicio de análisis de datos Qlik Sense y Apache ActiveMQ.
Al comprometer una vulnerabilidad en un dispositivo que ejecuta Windows, Magnet Goblin implementa una herramienta de monitoreo y administración remota (RMM), como ScreenConnect de ConnectWise o AnyDesk.
Este tipo de malware tienen una probabilidad superior a la media de pasar totalmente desapercibidos, ya que se despliegan contra dispositivos periféricos. Los atacantes realizan ingeniería inversa de las actualizaciones de seguridad o copian las vulnerabilidades de seguridad de prueba de concepto para usarlas en dispositivos que aún no han instalado los parches.
MiniNerbian, una versión inferior a NerbianRAT para Linux
También se identificó MiniNerbian, una versión inferior a NerbianRAT para Linux. En este caso, este malware se ha colado por las puertas traseras de servidores que ejecutan el servidor de comercio electrónico Magento.
Otra de las principales diferencias es el método de comunicación. MiniNerbian utiliza HTTP y pasa datos mediante el envío de solicitudes POST a /dashboard/endpoint. Por el contrario, NerbianRAT envía datos a través de sockets sin procesar.
Además de implementar NerbianRAT, Magnet Goblin también instaló una variante personalizada de malware rastreado como WarpWire, una pieza de malware reportada recientemente por la firma de seguridad Mandiant.
La variante que encontró Checkpoint robó las credenciales de VPN y las envió a un servidor en el dominio miltonhouse[.] Nl.
Según Checkpoint, “a diferencia de su equivalente de Windows, la versión de Linux apenas tiene medidas de protección (…) está compilado de forma descuidada con la información de depuración de DWARF. Esto permite a los investigadores ver, entre otras cosas, los nombres de las funciones y los nombres de las variables globales".
Mientras tanto, MiniNerbian es una versión simplificada de NerbianRAT que utiliza gran parte del mismo código fuente. Al mismo tiempo, es una pieza distinta de malware en lugar de una copia de NerbianRAT con ciertas partes eliminadas.
Conoce cómo trabajamos en Computerhoy.
Etiquetas: Malware, Linux, Ciberseguridad