Une cybermenace motivée par des raisons financières, doublé “Aimant Gobelin” par chèque chercheurs Point, exploite les vulnérabilités connues des services publics pour distribuer des logiciels malveillants sur mesure aux systèmes Windows et Linux non corrigés.
L'acteur menaçant Magnet Goblin, connu pour son activité persistante, a exploité une série de vulnérabilités, dont deux failles récemment découvertes dans Ivanti Connect Secure VPN, qui sont devenus les favoris des attaquants.
L'arsenal de vulnérabilités exploitées de Magnet Goblin
Depuis leur apparition dans 2022, Magnet Goblin recherche activement des vulnérabilités à exploiter, ciblant initialement les serveurs Magento via CVE-2022-24086. Par la suite, ils ont élargi leur arsenal, exploiter les vulnérabilités de Qlik Sense et Ivanti Connectez des appareils VPN sécurisés, y compris CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, et CVE-2024-21893.
Utilisation d'une gamme de logiciels malveillants Windows et Linux personnalisés, La boîte à outils de Magnet Goblin comprend le célèbre NerbianRAT et sa variante Linux, MiniNerbien, tous deux servant de chevaux de Troie d'accès à distance (Les rats) et portes dérobées pour l'exécution des commandes. Bien qu'il ait été détecté pour la première fois dans 2022, NerbianRAT continue de ravager les systèmes, avec une version Linux émergeant en mai de la même année.
En plus des exploits mentionnés ci-dessus, Magnet Goblin exploite le récupérateur d'informations d'identification WARPWIRE, Outil de tunneling Ligolo, et une surveillance et une gestion légitimes à distance (RMM) des utilitaires comme ScreenConnect et AnyDesk.
Bien que les chercheurs ne puissent établir de manière définitive un lien, Tactiques de Magnet Goblin, techniques, et procédures (TTPs) ressemblent à ceux employés dans la campagne de rançongiciel Cactus de décembre 2023, qui a identifié les instances Qlik Sense vulnérables accessibles sur Internet.
La capacité du groupe à adopter rapidement 1-vulnérabilités de jour distribuer leurs logiciels malveillants Linux personnalisés leur a permis d'opérer en grande partie sous le radar, principalement sur les appareils Edge.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: