Новости Magnet Goblin: общедоступные серверы под прицелом новых бэкдоров

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Выявлена стратегия группы от публикации PoC до установки вредоносного ПО.


nh2o9fo5x4p88bwrx97eylasmkffke4d.jpg


Группировка Magnet Goblin активно использует уязвимости в общедоступных серверах для развертывания вредоносного ПО на системах Windows и Linux.

Группа нацелена на 1-day vulnerabilities – обнародованные проблемы безопасности, для которых выпущены исправления, требующие быстрого действия от злоумышленников до момента установки обновлений целевыми системами.

Аналитики Check Point , Для просмотра ссылки Войди или Зарегистрируйся Magnet Goblin, отмечают стремление группы эксплуатировать уязвимости сразу после публикации доказательства концепции эксплойта (Proof-of-Concept, PoC ). Среди целей атак находятся устройства или сервисы, такие как Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся использование которых приводит к заражению серверов специализированными вредоносными программами, в том числе NerbianRAT и MiniNerbian, а также настраиваемым вариантом вредоносного ПО на JavaScript WARPWIRE для кражи учетных данных.


k7os1o06f3mecdvmpzfilah9m9m77sal.png


Хронология деятельности Magnet Goblin

Анализ инфраструктуры, задействованной в кампаниях против Magento и Ivanti, показал использование дополнительных инструментов для Linux и Windows, в том числе программы ScreenConnect . Также была отмечена возможная связь с программой-вымогателем CACTUS, которая использовалась Для просмотра ссылки Войди или Зарегистрируйся на платформу бизнес-аналитики Qlik Sense.

Особое внимание уделяется вредоносному ПО для Linux NerbianRAT, известный с 2022 года, и его упрощенной версии MiniNerbian. Обе версии программы могут собирать информацию о системе, выполнять команды сервера управления и контроля (Command and Control, C2 ) и обеспечивать зашифрованную коммуникацию. Специалисты отмечают, что MiniNerbian использует HTTP для передачи данных и активен только в определенные часы.

Magnet Goblin применяет свои инструменты для обеспечения устойчивого контроля над зараженными системами, используя разные методы коммуникации: MiniNerbian общается через HTTP, а NerbianRAT использует сырые TCP-сокеты.

По словам Check Point, выявление специфических угроз, подобных атакам Magnet Goblin, среди всех данных об эксплуатации 1-day является сложной задачей. Такая проблема позволяет хакерам оставаться незамеченными на фоне хаоса, возникающего после обнародования уязвимостей.

Для противодействия эксплуатации 1-day критически важно своевременное применение исправлений. Дополнительные меры, такие как сегментация сети, защита конечных точек и многофакторная аутентификация, могут помочь снизить риск и последствия потенциальных нарушений.
 
Источник новости
www.securitylab.ru