Een financieel gemotiveerde cyberdreiging, nagesynchroniseerde “Magneet Goblin” door Check Point onderzoekers, maakt gebruik van bekende kwetsbaarheden in openbare diensten om op maat gemaakte malware te verspreiden naar niet-gepatchte Windows- en Linux-systemen.
De Magnet Goblin-bedreigingsacteur, bekend om hun aanhoudende activiteit, heeft misbruik gemaakt van een reeks kwetsbaarheden, waaronder twee onlangs ontdekte fouten in Ivanti Connect Secure VPN, die een favoriet zijn geworden onder aanvallers.
Magnet Goblin's arsenaal aan uitgebuite kwetsbaarheden
Sinds hun opkomst in 2022, Magnet Goblin is actief op zoek naar kwetsbaarheden om te misbruiken, aanvankelijk gericht op Magento-servers CVE-2022-24086. Hierop volgend, ze breidden hun arsenaal uit, misbruik maken van kwetsbaarheden in Qlik Sense en Ivanti Verbind Secure VPN-apparaten, inclusief CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, en CVE-2024-21893.
Er wordt gebruik gemaakt van een reeks aangepaste Windows- en Linux-malware, De toolkit van Magnet Goblin omvat de beruchte NerbianRAT en zijn Linux-variant, MiniNerbian, beide dienen als trojans voor externe toegang (RAT) en achterdeurtjes voor de uitvoering van commando's. Ondanks dat hij voor het eerst werd ontdekt 2022, NerbianRAT blijft systemen teisteren, met een Linux-versie die in mei van hetzelfde jaar verscheen.
Naast de bovengenoemde exploits, Magnet Goblin maakt gebruik van de WARPWIRE-credential harvester, Ligolo-tunneltool, en legitieme monitoring en beheer op afstand (RMM) hulpprogramma's zoals ScreenConnect en AnyDesk.
Hoewel onderzoekers een verband niet definitief kunnen vaststellen, De tactieken van Magnet Goblin, technieken, en procedures (TTP's) lijken op degenen die betrokken waren bij de Cactus-ransomwarecampagne van december 2023, waarin kwetsbare, op het internet gerichte Qlik Sense-instanties werden uitgekozen.
Het vermogen van de groep om snel te adopteren 1-kwetsbaarheden van de dag Door hun aangepaste Linux-malware te verspreiden, konden ze grotendeels onder de radar opereren, voornamelijk op edge-apparaten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: