NerbianRAT, multiplatformní trojský kůň pro vzdálený přístup, byl nedávno identifikován jako jedna z nebezpečnějších hrozeb na Linuxových systémech. Tento malware, objevený již před několika lety, zůstal skrytý. V nedávné době dostal tento malware několik vylepšení, a díky tomu se celkem snadno infiltruje do nechráněného zařízení.

Poprvé byl tento malware NerbianRAT popsán v roce 2022 výzkumníky ze společnosti Proofpoint. V provedení pro Linux ale znamená skutečnou hrozbu. Skupina hledající finanční zisky, známá jako Magnet Goblin, je podezřelá z šíření tohoto malwaru. Používá strategii využití "jednodenních" zranitelností, čímž prochází pod radarem a infikuje okrajová zařízení.

Checkpoint Research identifikoval MiniNerbian, zjednodušenou verzi NerbianRAT, která se často používá pro napadení serverů elektronického obchodu Magento. Tato varianta slouží jako backdoor, umožňující útočníkům přístup k infikovaným zařízením. Zatímco podobné malwarové útoky byly v minulosti zaměřeny na platformy jako Magento, Qlink Sense a Apache ActiveMQ, tentokrát je hlavním cílem Linuxový systém. Checkpoint objevil tento malware již při zkoumání kritické zranitelnosti Ivanti Secure Connect.

NerbianRAT a MiniNerbian mají podobné funkcionality, ale jejich implementace na Linuxu je poněkud odlišná. NerbianRAT načítá konfiguraci ze souboru a komunikuje pomocí nezpracovaných TCP socketů, zatímco MiniNerbian využívá HTTP pro komunikaci s C2 serverem. Oba malwary pracují ve specifických časech, což ztěžuje jejich odhalení.

Zdroj: Shutterstock

Při analýze NerbianRAT a MiniNerbian bylo odhaleno, že se jedná o dobře organizované malwary s komplexní funkcionalitou. Zejména zjištění, že Magnet Goblin je distribuuje, poukazuje na stále rostoucí sofistikaci kybernetických útoků. Očekává se, že se podobné hrozby budou v budoucnosti ještě více rozšiřovat a vyžadovat opatření na ochranu systémů před jejich nebezpečím.

Bezpečnostní firmy a odborníci se snaží předcházet šíření těchto malwarů prostřednictvím zlepšených bezpečnostních opatření a rychlých reakcí na nové hrozby. Identifikace indikátorů kompromisu a monitorování síťového provozu jsou klíčovými prvky pro ochranu před NerbianRAT a jeho podobnými variantami. Vzhledem k jejich schopnosti proniknout pod radarem je důležité, aby organizace zůstávaly ostražité a aktualizovaly svá zabezpečení, aby minimalizovaly riziko útoku.