Uma ameaça cibernética com motivação financeira, apelidado “Duende Magnético” por pesquisadores da Check Point, está aproveitando vulnerabilidades conhecidas em serviços públicos para distribuir malware personalizado para sistemas Windows e Linux não corrigidos.
O ator da ameaça Magnet Goblin, conhecido por sua atividade persistente, vem explorando uma série de vulnerabilidades, incluindo duas falhas recentemente descobertas no Ivanti Connect Secure VPN, que se tornaram os favoritos entre os invasores.
Arsenal de vulnerabilidades exploradas do Magnet Goblin
Desde o seu surgimento em 2022, Magnet Goblin tem procurado ativamente por vulnerabilidades para explorar, visando inicialmente servidores Magento por meio de CVE-2022-24086. Subseqüentemente, eles expandiram seu arsenal, explorando vulnerabilidades no Qlik Sense e Ivanti Conecte dispositivos VPN seguros, incluindo CVE-2023-41265, CVE-2023-41266, CVE-2023-48365, CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, e CVE-2024-21893.
Empregando uma variedade de malwares personalizados para Windows e Linux, O kit de ferramentas do Magnet Goblin inclui o notório NerbianRAT e sua variante Linux, MiniNerbian, ambos servindo como trojans de acesso remoto (RATs) e backdoors para execução de comandos. Apesar de ter sido detectado pela primeira vez em 2022, NerbianRAT continua a atormentar os sistemas, com uma versão Linux surgindo em maio do mesmo ano.
Além das façanhas mencionadas acima, Magnet Goblin aproveita o coletor de credenciais WARPWIRE, Ferramenta de tunelamento Ligolo, e monitoramento e gerenciamento remoto legítimo (RMM) utilitários como ScreenConnect e AnyDesk.
Embora os pesquisadores não possam estabelecer definitivamente uma ligação, Táticas do Magnet Goblin, técnicas, e procedimentos (TTPs) têm semelhança com aqueles empregados na campanha de ransomware Cactus de dezembro 2023, que destacou instâncias vulneráveis do Qlik Sense voltadas para a Internet.
A capacidade do grupo em adotar rapidamente 1-vulnerabilidades do dia distribuir seu malware Linux personalizado permitiu que eles operassem em grande parte sob o radar, principalmente em dispositivos de ponta.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: