Magnet Goblin: новая угроза для корпоративных систем с быстрым использованием уязвимостей

Magnet Goblin специализируется на атаках против корпоративных систем, включая решения для удаленного доступа, платформы электронной коммерции и системы бизнес-аналитики. В числе подтвержденных целей группировки значатся Ivanti Connect Secure VPN, Magento, Qlik Sense, а также, возможно, Apache ActiveMQ. Используя 1-дневные уязвимости (то есть те, для которых уже выпущены исправления, но не все пользователи успели их применить), злоумышленники получают первоначальный доступ к инфраструктуре жертв.

В ходе анализа одной из последних кампаний, направленных на Ivanti Connect Secure VPN, исследователи обнаружили ранее неизвестный вариант вредоносного ПО для Linux под названием NerbianRAT. Этот бэкдор обладает широкими возможностями, включая сбор системной информации, выполнение команд и загрузку дополнительных модулей. Кроме того, в атаке был задействован WARPWIRE - JavaScript-инструмент для кражи учетных данных, который перехватывает данные аутентификации пользователей.

Арсенал Magnet Goblin не ограничивается Linux-ориентированными угрозами. В него также входит MiniNerbian - облегченная версия бэкдора, предназначенная для скрытого управления зараженными системами. Для атак на Windows-инфраструктуру группа использует инструменты удаленного мониторинга и управления (RMM), такие как ScreenConnect и AnyDesk. Эти легитимные программы, часто применяемые в ИТ-поддержке, злоумышленники адаптируют для несанкционированного доступа к корпоративным сетям.

Эксперты по кибербезопасности отмечают, что скорость, с которой Magnet Goblin внедряет новые эксплойты, делает его особенно опасным. Традиционные методы защиты, основанные на запоздалом обновлении ПО, оказываются неэффективными, так как злоумышленники успевают провести атаку до того, как компании установят патчи. В связи с этим специалисты рекомендуют организациям, использующим уязвимые системы, усилить мониторинг сетевой активности, внедрить механизмы обнаружения аномалий и оперативно применять все доступные обновления безопасности.

Пока неясно, какие именно финансовые схемы использует Magnet Goblin - кража данных для последующей продажи на теневых форумах, криптоджекинг или вымогательство. Однако очевидно, что группировка представляет серьезную угрозу для бизнеса, особенно для компаний, использующих устаревшие или недостаточно защищенные сервисы. Учитывая растущую активность подобных киберпреступных объединений, корпорациям необходимо пересмотреть свои стратегии защиты и уделять больше внимания превентивным мерам, таким как регулярный аудит безопасности и обучение сотрудников основам кибергигиены.

Check Point продолжает исследование деятельности Magnet Goblin и предупреждает, что в ближайшее время можно ожидать новых атак с использованием свежих уязвимостей. Организациям, попавшим в зону риска, следует быть особенно бдительными и оперативно реагировать на любые подозрительные события в своих сетях.

IPv4

• 172.86.66.165
• 45.153.240.73
• 45.9.149.215
• 91.92.240.113
• 94.156.71.115

Domains

• allsecurehosting.com
• cloudflareaddons.com
• dev-clientservice.com
• mailchimp-addons.com
• oncloud-analytics.com

URLs

• http://45.9.149.215/agent
• http://45.9.149.215/aparche2
• http://91.92.240.113/agent
• http://91.92.240.113/aparche2
• http://91.92.240.113/auth.js
• http://91.92.240.113/login.cgi
• http://94.156.71.115/agent
• http://94.156.71.115/angel.dat
• http://94.156.71.115/baba.dat
• http://94.156.71.115/instal1.ps1
• http://94.156.71.115/instali.ps1
• http://94.156.71.115/ligocert.dat
• http://94.156.71.115/lxrt
• http://94.156.71.115/Maintenance.ps1
• http://94.156.71.115/windows.xml
• http://biondocenere.com/pub/health_check.php
• http://cloudflareaddons.com/assets/img/Image_Slider15.1.png
• http://oncloud-analytics.com/files/mg/elf/RT1.50.png
• http://www.fernandestechnical.com/pub/health_check.php
• http://www.miltonhouse.nl/pub/opt/processor.php
• https://theroots.in/pub/media/avatar/223sam.jpg

SHA256

• 027d03679f7279a2c505f0677568972d30bc27daf43033a463fafeee0d7234f6
• 1079e1b6e016b070ebf3e1357fa23313dcb805d3a6805088dbc3ab6d39330548
• 3367a4c8bd2bcd0973f3cb22aa2cb3f90ce2125107f9df2935831419444d5276
• 7967def86776f36ab6a663850120c5c70f397dd3834f11ba7a077205d37b117f
• 7b1d1e639d1994c6235d16a7ac583e583687660d7054a2a245dd18f24d10b675
• 894ab5d563172787b052f3fea17bf7d51ca8e015b0f873a893af17f47b358efe
• 8fe1ed1e34e8758a92c8d024d73c434665a03e94e5eb972c68dd661c5e252469
• 926aeb3fda8142a6de8bc6c26bc00e32abc603c21acd0f9b572ec0484115bb89
• 9895286973617a79e2b19f2919190a6ec9afc07a9e87af3557f3d76b252292df
• 99fd61ba93497214ac56d8a0e65203647a2bc383a2ca2716015b3014a7e0f84d
• 9cb6dc863e56316364c7c1e51f74ca991d734dacef9029337ddec5ca684c1106
• 9d11c3cf10b20ff5b3e541147f9a965a4e66ed863803c54d93ba8a07c4aa7e50
• 9ff0dcce930bb690c897260a0c5aaa928955f4ffba080c580c13a32a48037cf7
• b35f11d4f54b8941d4f1c5b49101b67b563511a55351e10ad4ede17403529c16
• bd9edc3bf3d45e3cdf5236e8f8cd57a95ca3b41f61e4cd5c6c0404a83519058e
• d3fbae7eb3d38159913c7e9f4c627149df1882b57998c8acaac5904710be2236
• df91410df516e2bddfd3f6815b3b4039bf67a76f20aecabccffb152e5d6975ef
• e134e053a80303d1fde769e50c2557ade0852fa827bed9199e52f67bac0d9efc
• f1e7c1fc06bf0ea40986aa20e774d6b85c526c59046c452d98e48fe1e331ee4c
• f23307f1c286143b974843da20c257901cf4be372ea21d1bb5dea523a7e2785d
• fa317b071da64e3ee18d82d3a6a216596f2b4bca5f4d3277a091a137d6a21c45