Magnet Goblin bruger 1-dags udnyttelse til at droppe tilpasset malware på Linux, Vinduer

En økonomisk motiveret cybertrussel, døbt “Magnet Goblin” ved Check Point forskere, udnytter kendte sårbarheder i offentlige tjenester til at distribuere skræddersyet malware til ikke-patchede Windows- og Linux-systemer.

Trusselskuespilleren Magnet Goblin, kendt for deres vedvarende aktivitet, har udnyttet en række sårbarheder, inklusive to nyligt afslørede fejl i Ivanti Connect Secure VPN, som er blevet en favorit blandt angribere.

Magnet Goblin's Arsenal of Exploited Vulnerabilities

Siden deres fremkomst i 2022, Magnet Goblin har aktivt søgt efter sårbarheder at udnytte, oprindeligt målrettet Magento-servere igennem CVE-2022-24086. Efterfølgende, de udvidede deres arsenal, udnytter sårbarheder i Qlik Sense og Ivanti Tilslut sikre VPN-enheder, inklusive CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, og CVE-2024-21893.

Anvender en række tilpassede Windows- og Linux-malware, Magnet Goblins værktøjssæt inkluderer den berygtede NerbianRAT og dens Linux-variant, Mininerbisk, begge fungerer som fjernadgangstrojanske heste (rotter) og bagdøre til kommandoudførelse. På trods af at de først blev opdaget i 2022, NerbianRAT fortsætter med at plage systemer, med en Linux-version, der dukker op i maj samme år.

Ud over de ovennævnte bedrifter, Magnet Goblin udnytter WARPWIRE legitimationshøster, Ligolo tunnelværktøj, og legitim fjernovervågning og -styring (RMM) hjælpeprogrammer som ScreenConnect og AnyDesk.

Selvom forskere ikke endegyldigt kan etablere et link, Magnet Goblins taktik, teknikker, og procedurer (ttps) ligner dem, der var ansat i Cactus ransomware-kampagnen i december 2023, som udpegede sårbare internet-vendte Qlik Sense-instanser.

Gruppens dygtighed til hurtigt at adoptere 1-dages sårbarheder at distribuere deres tilpassede Linux-malware har givet dem mulighed for stort set at operere under radaren, primært på kant-enheder.