Группировка Magnet Goblin активно использует уязвимости в общедоступных серверах для развертывания вредоносного ПО на системах Windows и Linux.
Группа нацелена на 1-day vulnerabilities – обнародованные проблемы безопасности, для которых выпущены исправления, требующие быстрого действия от злоумышленников до момента установки обновлений целевыми системами.
Аналитики Check Point, обнаружившие деятельность Magnet Goblin, отмечают стремление группы эксплуатировать уязвимости сразу после публикации доказательства концепции эксплойта (Proof-of-Concept, PoC). Среди целей атак находятся устройства или сервисы, такие как Ivanti Connect Secure, Apache ActiveMQ, ScreenConnect, Qlik Sense и Magento, использование которых приводит к заражению серверов специализированными вредоносными программами, в том числе NerbianRAT и MiniNerbian, а также настраиваемым вариантом вредоносного ПО на JavaScript WARPWIRE для кражи учетных данных.
Хронология деятельности Magnet Goblin
Анализ инфраструктуры, задействованной в кампаниях против Magento и Ivanti, показал использование дополнительных инструментов для Linux и Windows, в том числе программы ScreenConnect. Также была отмечена возможная связь с программой-вымогателем CACTUS, которая использовалась в атаках на платформу бизнес-аналитики Qlik Sense.
Особое внимание уделяется вредоносному ПО для Linux NerbianRAT, известный с 2022 года, и его упрощенной версии MiniNerbian. Обе версии программы могут собирать информацию о системе, выполнять команды сервера управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) и обеспечивать зашифрованную коммуникацию. Специалисты отмечают, что MiniNerbian использует HTTP для передачи данных и активен только в определенные часы.
Magnet Goblin применяет свои инструменты для обеспечения устойчивого контроля над зараженными системами, используя разные методы коммуникации: MiniNerbian общается через HTTP, а NerbianRAT использует сырые TCP-сокеты.
По словам Check Point, выявление специфических угроз, подобных атакам Magnet Goblin, среди всех данных об эксплуатации 1-day является сложной задачей. Такая проблема позволяет хакерам оставаться незамеченными на фоне хаоса, возникающего после обнародования уязвимостей.
Для противодействия эксплуатации 1-day критически важно своевременное применение исправлений. Дополнительные меры, такие как сегментация сети, защита конечных точек и многофакторная аутентификация, могут помочь снизить риск и последствия потенциальных нарушений.