Magnet Goblin: общедоступные серверы под прицелом новых бэкдоров

Группировка Magnet Goblin активно использует уязвимости в общедоступных серверах для развертывания вредоносного ПО на системах Windows и Linux.

Группа нацелена на 1-day vulnerabilities – обнародованные проблемы безопасности, для которых выпущены исправления, требующие быстрого действия от злоумышленников до момента установки обновлений целевыми системами.

Аналитики Check Point , обнаружившие деятельность Magnet Goblin, отмечают стремление группы эксплуатировать уязвимости сразу после публикации доказательства концепции эксплойта (Proof-of-Concept, PoC ). Среди целей атак находятся устройства или сервисы, такие как Ivanti Connect Secure, Apache ActiveMQ, ScreenConnect, Qlik Sense и Magento, использование которых приводит к заражению серверов специализированными вредоносными программами, в том числе NerbianRAT и MiniNerbian, а также настраиваемым вариантом вредоносного ПО на JavaScript WARPWIRE для кражи учетных данных.

Хронология деятельности Magnet Goblin

Анализ инфраструктуры, задействованной в кампаниях против Magento и Ivanti, показал использование дополнительных инструментов для Linux и Windows, в том числе программы ScreenConnect . Также была отмечена возможная связь с программой-вымогателем CACTUS, которая использовалась в атаках на платформу бизнес-аналитики Qlik Sense.

Особое внимание уделяется вредоносному ПО для Linux NerbianRAT, известный с 2022 года, и его упрощенной версии MiniNerbian. Обе версии программы могут собирать информацию о системе, выполнять команды сервера управления и контроля (Command and Control, C2 ) и обеспечивать зашифрованную коммуникацию. Специалисты отмечают, что MiniNerbian использует HTTP для передачи данных и активен только в определенные часы.

Magnet Goblin применяет свои инструменты для обеспечения устойчивого контроля над зараженными системами, используя разные методы коммуникации: MiniNerbian общается через HTTP, а NerbianRAT использует сырые TCP-сокеты.

По словам Check Point, выявление специфических угроз, подобных атакам Magnet Goblin, среди всех данных об эксплуатации 1-day является сложной задачей. Такая проблема позволяет хакерам оставаться незамеченными на фоне хаоса, возникающего после обнародования уязвимостей.

Для противодействия эксплуатации 1-day критически важно своевременное применение исправлений. Дополнительные меры, такие как сегментация сети, защита конечных точек и многофакторная аутентификация, могут помочь снизить риск и последствия потенциальных нарушений.