Un gruppo di hacker motivato finanziariamente chiamato Magnet Goblin utilizza varie vulnerabilità 1-day per violare i server pubblici e distribuire malware personalizzato su sistemi Windows e Linux. Questi bug sono vulnerabilità divulgate pubblicamente per le quali è stata rilasciata una patch. Sebbene gli exploit di solito non siano resi disponibili immediatamente dopo la scoperta di un difetto, è facile capire come sfruttare alcune vulnerabilità. Inoltre, il reverse engineering della patch può rivelare il problema di fondo e come sfruttarlo. Gli analisti di Check Point che hanno identificato Magnet Goblin riferiscono che questi autori di minacce sono rapidi nello sfruttare le vulnerabilità appena divulgate. In alcuni casi sfruttando le falle un giorno dopo il rilascio di un exploit PoC. Alcuni dei dispositivi o servizi presi di mira dagli hacker sono Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE -2023-41265, CVE-2023-41266, CVE-2023-48365) e Magento (CVE-2022-24086).
Magnet Gobiln: variante linux del malware in circolazione da maggio 2022
Magnet Goblin sfrutta i difetti per infettare i server con malware personalizzato, in particolare NerbianRAT e MiniNerbian, nonché una variante personalizzata del ladro JavaScript WARPWIRE. NerbianRAT per Windows è noto dal 2022, ma Check Point ora riferisce che una variante Linux compilata in modo approssimativo ma efficace utilizzata da Magnet Goblin è in circolazione da maggio 2022. Al primo avvio, il malware esegue azioni preliminari. Queste includono la raccolta di informazioni di sistema (ora, nome utente e nome della macchina), la generazione di un ID bot, l'impostazione di un indirizzo IP hardcoded come host primario e secondario, l'impostazione della directory di lavoro e il caricamento una chiave RSA pubblica per la comunicazione di rete crittografata (AES). Successivamente, NerbianRAT carica la sua configurazione. Questa determina i tempi di attività, gli intervalli di tempo per la comunicazione con il server di comando e controllo (C2) e altri parametri.
Il C2 può inviare diverse azioni al malware affinché venga eseguito sul sistema infetto. Tra queste vi sono: “richiedi più azioni”, “esegui un comando Linux in un nuovo thread”, “invia il risultato del comando e pulisci il file” o “interrompere qualsiasi comando in esecuzione”, “aggiorna una variabile di configurazione specifica” “aggiorna il buffer dei comandi per i comandi di esecuzione C2”, ecc. MiniNerbian comunica con C2 tramite HTTP. Questo si differenzia dal più complesso NerbianRAT, che utilizza socket TCP grezzi per la comunicazione. Forse, Magnet Goblin lo usa per ridondanza o in alcuni casi come backdoor più furtivo. Sfruttare bug 1-day consente a questi gruppi di nascondersi facilmente. L'applicazione rapida delle patch è quindi fondamentale per contrastare lo sfruttamento di queste vulnerabilità. Per mitigare l'impatto di potenziali violazioni è possibile usare misure aggiuntive come la segmentazione della rete, la protezione degli endpoint e l'autenticazione a più fattori.
via/ html.it
