Magnet Goblin – 1 napos meggazdagodás

Editors' PickSecurityVulns
Yanac

A Check Point research jelentés a Magnet Goblin néven ismert, pénzügyileg motivált fenyegető szereplő tevékenységét tárgyalja, amely a nyilvános szolgáltatások 1 napos sebezhetőségeit használja ki kezdeti fertőzési vektorként. Az egyik figyelemre méltó eset az Ivanti Connect Secure VPN-t (CVE-2024-21887) érinti, ahol a támadó az exploitot a proof-of-concept közzétételét követő egy napon belül felhasználta. A Magnet Goblinnak tulajdonított kampányok különböző platformokat céloztak meg, köztük az Ivanti, a Magento, a Qlik Sense és valószínűleg az Apache ActiveMQ platformokat.

A Magnet Goblin legutóbbi Ivanti Connect Secure VPN kampányának elemzése a NerbianRAT malware egy új Linux-változatát és a WARPWIRE-t, egy JavaScript hitelesítő adatok lopását tárta fel. A szereplő eszköztárában megtalálható a MiniNerbian, egy kis Linux backdoor, valamint a Remote Monitoring and Management (RMM) eszközök, mint a ScreenConnect és az AnyDesk for Windows.

A jelentés az Ivanti kizsákmányoló kampányának sajátosságait tárja fel, kiemelve a Linux NerbianRAT variáns telepítését és a WARPWIRE használatát a VPN hitelesítő adatok ellopására. A Magnet Goblin korábbi tevékenységei magukban foglalták a Magento szerverek megcélzását, a MiniNerbian hátsó ajtóként való felhasználását és egyéb eszközök Linuxra történő telepítését. A fenyegető szereplő érdeklődést mutatott az Apache ActiveMQ sebezhetőségének kihasználása iránt is.

Az elemzés további betekintést nyújt a Nerbian-család jellemzőibe, részletesen bemutatva a NerbianRAT és egyszerűsített változata, a MiniNerbian működését és viselkedését. A jelentés hangsúlyozza, hogy a széles körben elterjedt opportunista kihasználási támadások közepette nehéz konkrét tevékenységeket a fenyegető szereplőkhöz rendelni. A cikk azzal zárul, hogy biztosítja, hogy a Check Point ügyfelei továbbra is védve maradjanak a leírt fenyegetésekkel szemben a frissített IPS-védelmekkel. Ezen kívül, a támadás technicai adatait (Indicators of Compromise, IOC) is megadja referenciaként.

(forrás)