Una ciberamenaza con motivación financiera, apodada “Duende magnético” por investigadores de Check Point, está aprovechando vulnerabilidades conocidas en servicios públicos para distribuir malware personalizado a sistemas Windows y Linux sin parches..
El actor de amenazas Magnet Goblin, conocido por su persistente actividad, ha estado explotando una serie de vulnerabilidades, incluidos dos fallos descubiertos recientemente en Ivanti Connect Secure VPN, que se han convertido en los favoritos entre los atacantes.
El arsenal de vulnerabilidades explotadas de Magnet Goblin
Desde su aparición en 2022, Magnet Goblin ha estado buscando activamente vulnerabilidades para explotar, inicialmente apuntando a servidores Magento a través de CVE-2022-24086. Después, ampliaron su arsenal, explotar vulnerabilidades en Qlik Sense y Ivanti Conecte dispositivos VPN seguros, incluido CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, y CVE-2024-21893.
Emplear una variedad de malware personalizado para Windows y Linux, El kit de herramientas de Magnet Goblin incluye el notorio NerbianRAT y su variante Linux, mininerbio, ambos sirven como troyanos de acceso remoto (RAT) y puertas traseras para la ejecución de comandos. A pesar de haber sido detectado por primera vez en 2022, NerbianRAT continúa plagando los sistemas, con una versión de Linux surgiendo en mayo del mismo año..
Además de los exploits antes mencionados, Magnet Goblin aprovecha el recolector de credenciales WARPWIRE, Herramienta de tunelización Ligolo, y supervisión y gestión remotas legítimas (RMM) utilidades como ScreenConnect y AnyDesk.
Aunque los investigadores no pueden establecer definitivamente un vínculo, Las tácticas de Magnet Goblin, técnicas, y procedimientos (TTP) Se parecen a los empleados en la campaña de ransomware Cactus de diciembre. 2023, que destacó instancias vulnerables de Qlik Sense orientadas a Internet.
La capacidad del grupo para adoptar rápidamente 1-vulnerabilidades del día distribuir su malware personalizado para Linux les ha permitido operar en gran medida bajo el radar, principalmente en dispositivos de borde.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: