Eine finanziell motivierte Cyber-Bedrohung, dubbed “Magnetkobold” von Check Point Forscher, nutzt bekannte Schwachstellen in öffentlich zugänglichen Diensten aus, um maßgeschneiderte Malware auf ungepatchte Windows- und Linux-Systeme zu verteilen.
Der Magnetgoblin-Bedrohungsakteur, bekannt für ihre beharrliche Aktivität, hat eine Reihe von Schwachstellen ausgenutzt, darunter zwei kürzlich entdeckte Schwachstellen in Ivanti Connect Secure VPN, die bei Angreifern zu einem Favoriten geworden sind.
Magnet Goblins Arsenal ausgenutzter Schwachstellen
Seit ihrer Entstehung in 2022, Magnet Goblin hat aktiv nach Schwachstellen gesucht, die ausgenutzt werden können, zunächst auf Magento-Server ausgerichtet CVE-2022-24086. Anschließend, Sie erweiterten ihr Arsenal, Ausnutzen von Schwachstellen in Qlik Sense und Ivanti Verbinden Sie sichere VPN-Geräte, einschließlich CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, und CVE-2024-21893.
Einsatz einer Reihe benutzerdefinierter Windows- und Linux-Malware, Das Toolkit von Magnet Goblin umfasst das berüchtigte NerbianRAT und seine Linux-Variante, MiniNerbian, Beide dienen als Fernzugriffstrojaner (RATs) und Hintertüren zur Befehlsausführung. Obwohl es erstmals entdeckt wurde 2022, NerbianRAT plagt weiterhin Systeme, Im Mai desselben Jahres erschien eine Linux-Version.
Zusätzlich zu den oben genannten Exploits, Magnet Goblin nutzt den WARPWIRE-Credential-Harvester, Ligolo-Tunnelbauwerkzeug, und legitime Fernüberwachung und -verwaltung (RMM) Dienstprogramme wie ScreenConnect und AnyDesk.
Obwohl Forscher keinen definitiven Zusammenhang herstellen können, Die Taktik des Magnetgoblins, Techniken, und Verfahren (TTPs) ähneln denen, die bei der Cactus-Ransomware-Kampagne im Dezember zum Einsatz kamen 2023, Dabei wurden anfällige, mit dem Internet verbundene Qlik Sense-Instanzen herausgegriffen.
Die Fähigkeit der Gruppe, sich schnell anzupassen 1-Tagesschwachstellen Durch die Verbreitung ihrer benutzerdefinierten Linux-Malware konnten sie weitgehend unter dem Radar agieren, hauptsächlich auf Edge-Geräten.