Les chercheurs ont découvert un logiciel malveillant Linux qui circulait dans la nature depuis au moins deux ans avant d’être identifié comme un voleur d’identifiants installé par l’exploitation de vulnérabilités récemment corrigées. Le logiciel malveillant récemment identifié est une variante Linux de NerbianRAT, un cheval de Troie d’accès à distance décrit pour la première fois en 2022 par des chercheurs de la société de sécurité Proofpoint. Vendredi dernier, Checkpoint Research a révélé que la version Linux existait depuis au moins la même année, lorsqu’elle a été téléchargée sur le site d’identification de logiciels malveillants VirusTotal. Checkpoint a conclu que Magnet Goblin – le nom que la société de sécurité utilise pour suivre l’acteur de menace motivé financièrement utilisant le logiciel malveillant – l’a installé en exploitant des « 1-days », qui sont des vulnérabilités récemment corrigées. Dans ce scénario, les attaquants analysent les mises à jour de sécurité à rebours, ou copient les exploits conceptuels associés, pour les utiliser contre des appareils qui n’ont pas encore installé les correctifs. Checkpoint a également identifié MiniNerbian, une version plus petite de NerbianRAT pour Linux utilisée pour backdoorer les serveurs exécutant le serveur de commerce électronique Magento, principalement à des fins de serveurs de commande et de contrôle auxquels se connectent les appareils infectés par NerbianRAT. D’autres chercheurs ont signalé avoir rencontré des serveurs compromis par MiniNerbian, mais Checkpoint Research semble avoir été le premier à identifier le binaire sous-jacent. « Magnet Goblin, dont les campagnes semblent être motivées financièrement, a été rapide à adopter les vulnérabilités 1-day pour diffuser leur logiciel malveillant Linux personnalisé, NerbianRAT et MiniNerbian, » ont écrit les chercheurs de Checkpoint. « Ces outils ont opéré sous le radar car ils résident principalement sur les appareils de bordure. Cela fait partie d’une tendance continue pour les acteurs de menace de cibler des zones qui, jusqu’à présent, étaient sans protection. » Checkpoint a découvert le logiciel malveillant Linux lors de recherches sur les attaques récentes exploitant des vulnérabilités critiques dans Ivanti Secure Connect, qui ont fait l’objet d’une exploitation massive depuis début janvier. Dans le passé, Magnet Goblin a installé le logiciel malveillant en exploitant les vulnérabilités 1-day dans Magento, Qlink Sense et éventuellement Apache ActiveMQ.
« Survivre cet été sur Internet »
Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en
