Magnet Goblin: новая угроза для корпоративных систем с быстрым использованием уязвимостей

security

Компания Check Point обнародовала данные о новом финансово мотивированном угрожающем субъекте под названием Magnet Goblin, который демонстрирует высокую скорость эксплуатации свежих уязвимостей в публичных сервисах. Особую опасность представляет способность группировки оперативно внедрять эксплойты в свой арсенал: в случае с уязвимостью CVE-2024-21887 в Ivanti Connect Secure VPN атака была проведена уже через сутки после публикации доказательства концепции (PoC).

Описание

Magnet Goblin специализируется на атаках против корпоративных систем, включая решения для удаленного доступа, платформы электронной коммерции и системы бизнес-аналитики. В числе подтвержденных целей группировки значатся Ivanti Connect Secure VPN, Magento, Qlik Sense, а также, возможно, Apache ActiveMQ. Используя 1-дневные уязвимости (то есть те, для которых уже выпущены исправления, но не все пользователи успели их применить), злоумышленники получают первоначальный доступ к инфраструктуре жертв.

В ходе анализа одной из последних кампаний, направленных на Ivanti Connect Secure VPN, исследователи обнаружили ранее неизвестный вариант вредоносного ПО для Linux под названием NerbianRAT. Этот бэкдор обладает широкими возможностями, включая сбор системной информации, выполнение команд и загрузку дополнительных модулей. Кроме того, в атаке был задействован WARPWIRE - JavaScript-инструмент для кражи учетных данных, который перехватывает данные аутентификации пользователей.

Арсенал Magnet Goblin не ограничивается Linux-ориентированными угрозами. В него также входит MiniNerbian - облегченная версия бэкдора, предназначенная для скрытого управления зараженными системами. Для атак на Windows-инфраструктуру группа использует инструменты удаленного мониторинга и управления (RMM), такие как ScreenConnect и AnyDesk. Эти легитимные программы, часто применяемые в ИТ-поддержке, злоумышленники адаптируют для несанкционированного доступа к корпоративным сетям.

Эксперты по кибербезопасности отмечают, что скорость, с которой Magnet Goblin внедряет новые эксплойты, делает его особенно опасным. Традиционные методы защиты, основанные на запоздалом обновлении ПО, оказываются неэффективными, так как злоумышленники успевают провести атаку до того, как компании установят патчи. В связи с этим специалисты рекомендуют организациям, использующим уязвимые системы, усилить мониторинг сетевой активности, внедрить механизмы обнаружения аномалий и оперативно применять все доступные обновления безопасности.

Пока неясно, какие именно финансовые схемы использует Magnet Goblin - кража данных для последующей продажи на теневых форумах, криптоджекинг или вымогательство. Однако очевидно, что группировка представляет серьезную угрозу для бизнеса, особенно для компаний, использующих устаревшие или недостаточно защищенные сервисы. Учитывая растущую активность подобных киберпреступных объединений, корпорациям необходимо пересмотреть свои стратегии защиты и уделять больше внимания превентивным мерам, таким как регулярный аудит безопасности и обучение сотрудников основам кибергигиены.

Check Point продолжает исследование деятельности Magnet Goblin и предупреждает, что в ближайшее время можно ожидать новых атак с использованием свежих уязвимостей. Организациям, попавшим в зону риска, следует быть особенно бдительными и оперативно реагировать на любые подозрительные события в своих сетях.

Индикаторы компрометации

IPv4

  • 172.86.66.165
  • 45.153.240.73
  • 45.9.149.215
  • 91.92.240.113
  • 94.156.71.115

Domains

  • allsecurehosting.com
  • cloudflareaddons.com
  • dev-clientservice.com
  • mailchimp-addons.com
  • oncloud-analytics.com

URLs

  • http://45.9.149.215/agent
  • http://45.9.149.215/aparche2
  • http://91.92.240.113/agent
  • http://91.92.240.113/aparche2
  • http://91.92.240.113/auth.js
  • http://91.92.240.113/login.cgi
  • http://94.156.71.115/agent
  • http://94.156.71.115/angel.dat
  • http://94.156.71.115/baba.dat
  • http://94.156.71.115/instal1.ps1
  • http://94.156.71.115/instali.ps1
  • http://94.156.71.115/ligocert.dat
  • http://94.156.71.115/lxrt
  • http://94.156.71.115/Maintenance.ps1
  • http://94.156.71.115/windows.xml
  • http://biondocenere.com/pub/health_check.php
  • http://cloudflareaddons.com/assets/img/Image_Slider15.1.png
  • http://oncloud-analytics.com/files/mg/elf/RT1.50.png
  • http://www.fernandestechnical.com/pub/health_check.php
  • http://www.miltonhouse.nl/pub/opt/processor.php
  • https://theroots.in/pub/media/avatar/223sam.jpg

SHA256

  • 027d03679f7279a2c505f0677568972d30bc27daf43033a463fafeee0d7234f6
  • 1079e1b6e016b070ebf3e1357fa23313dcb805d3a6805088dbc3ab6d39330548
  • 3367a4c8bd2bcd0973f3cb22aa2cb3f90ce2125107f9df2935831419444d5276
  • 7967def86776f36ab6a663850120c5c70f397dd3834f11ba7a077205d37b117f
  • 7b1d1e639d1994c6235d16a7ac583e583687660d7054a2a245dd18f24d10b675
  • 894ab5d563172787b052f3fea17bf7d51ca8e015b0f873a893af17f47b358efe
  • 8fe1ed1e34e8758a92c8d024d73c434665a03e94e5eb972c68dd661c5e252469
  • 926aeb3fda8142a6de8bc6c26bc00e32abc603c21acd0f9b572ec0484115bb89
  • 9895286973617a79e2b19f2919190a6ec9afc07a9e87af3557f3d76b252292df
  • 99fd61ba93497214ac56d8a0e65203647a2bc383a2ca2716015b3014a7e0f84d
  • 9cb6dc863e56316364c7c1e51f74ca991d734dacef9029337ddec5ca684c1106
  • 9d11c3cf10b20ff5b3e541147f9a965a4e66ed863803c54d93ba8a07c4aa7e50
  • 9ff0dcce930bb690c897260a0c5aaa928955f4ffba080c580c13a32a48037cf7
  • b35f11d4f54b8941d4f1c5b49101b67b563511a55351e10ad4ede17403529c16
  • bd9edc3bf3d45e3cdf5236e8f8cd57a95ca3b41f61e4cd5c6c0404a83519058e
  • d3fbae7eb3d38159913c7e9f4c627149df1882b57998c8acaac5904710be2236
  • df91410df516e2bddfd3f6815b3b4039bf67a76f20aecabccffb152e5d6975ef
  • e134e053a80303d1fde769e50c2557ade0852fa827bed9199e52f67bac0d9efc
  • f1e7c1fc06bf0ea40986aa20e774d6b85c526c59046c452d98e48fe1e331ee4c
  • f23307f1c286143b974843da20c257901cf4be372ea21d1bb5dea523a7e2785d
  • fa317b071da64e3ee18d82d3a6a216596f2b4bca5f4d3277a091a137d6a21c45
Комментарии: 0