Una minaccia informatica motivata finanziariamente, soprannominato “Magnete Goblin” Con assegno ricercatori Point, sta sfruttando le vulnerabilità note nei servizi rivolti al pubblico per distribuire malware su misura a sistemi Windows e Linux senza patch.
L'attore della minaccia Magnet Goblin, noti per la loro attività persistente, ha sfruttato una serie di vulnerabilità, inclusi due difetti recentemente scoperti in Ivanti Connect Secure VPN, che sono diventati i preferiti dagli attaccanti.
L'arsenale delle vulnerabilità sfruttate del Magnet Goblin
Dalla loro comparsa in 2022, Magnet Goblin è stato attivamente alla ricerca di vulnerabilità da sfruttare, inizialmente prendendo di mira i server Magento attraverso CVE-2022-24086. Successivamente, hanno ampliato il loro arsenale, sfruttando le vulnerabilità in Qlik Sense e Ivanti Connetti dispositivi VPN sicuri, incluso CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, e CVE-2024-21893.
Impiega una gamma di malware Windows e Linux personalizzati, Il toolkit di Magnet Goblin include il famigerato NerbianRAT e la sua variante Linux, MiniNerbian, entrambi fungono da trojan di accesso remoto (RAT) e backdoor per l'esecuzione dei comandi. Nonostante sia stato scoperto per la prima volta in 2022, NerbianRAT continua ad affliggere i sistemi, con una versione Linux emergente nel maggio dello stesso anno.
Oltre agli exploit sopra menzionati, Magnet Goblin sfrutta la raccolta di credenziali WARPWIRE, Strumento di tunneling Ligolo, e legittimo monitoraggio e gestione remota (RMM) utilità come ScreenConnect e AnyDesk.
Sebbene i ricercatori non possano stabilire in modo definitivo un collegamento, Le tattiche di Magnet Goblin, tecniche, e procedure (TTP) somigliano a quelli impiegati nella campagna ransomware Cactus di dicembre 2023, che ha individuato le istanze vulnerabili di Qlik Sense esposte a Internet.
La capacità del gruppo di adottare rapidamente 1-vulnerabilità giornaliere distribuire il loro malware Linux personalizzato ha consentito loro di operare in gran parte sotto il radar, principalmente su dispositivi edge.