Finansal motivasyona sahip bir tehdit aktörü, halka açık hizmetleri hedef almak ve yama yapılmamış Windows ve Linux sistemlerine özel kötü amaçlı yazılım dağıtmak için bilinen güvenlik açıklarını kullanıyor.
İstismar edilen güvenlik açıkları arasında yakın zamanda keşfedilen ve çeşitli saldırganlar tarafından geniş çapta istismar edilen iki Ivanti Connect Secure VPN kusuru da yer alıyor.
Mıknatıslı Goblin etkinliği
Check Point araştırmacıları tarafından tehdit aktörü olarak adlandırılan Magnet Goblin, yıllardır yama yapılmamış uç cihazları ve halka açık sunucuları hedef alıyor.
2022'de Magento sunucularındaki bir güvenlik açığından (CVE-2022-24086) yararlanarak başladılar, ardından aşağıdaki kusurlardan yararlanarak devam ettiler:
Özel Windows ve Linux kötü amaçlı yazılımları
Tehdit aktörü genellikle NerbianRAT, MiniNerbian ve WARPWIRE JavaScript hırsızı gibi özel kötü amaçlı yazılımları dağıtır.
Araştırmacılar, Windows için NerbianRAT'ı ilk kez 2022'de tespit ederken, “özensiz derlenmiş” Linux varyantı ilk kez Mayıs 2022'de görüldü ve “neredeyse hiçbir koruyucu önlemi yok”.
NerbianRAT, başarılı bir şekilde kullanılmasının ardından komut yürütmek için kullanılan bir Linux arka kapısı olan basitleştirilmiş sürümü MiniNerbian ile birlikte dağıtılan bir uzaktan erişim truva atıdır (RAT).
Magnet Goblin ayrıca WARPWIRE kimlik bilgisi toplayıcısını, açık kaynaklı tünel açma aracı Ligolo'yu kullanıyor ve ScreenConnect ve AnyDesk gibi Windows için yasal uzaktan izleme ve yönetim (RMM) araçlarından yararlanıyor.
Araştırmacılar bağlantıyı doğrulayamasa da Magnet Goblin tarafından kullanılan TTP'ler, Aralık 2023'ün başlarında internete yönelik savunmasız Qlik Sense örneklerini hedef alan Cactus fidye yazılımı kampanyasında saldırganlar tarafından kullanılanlara benzer.
Araştırmacılar, grubun özel Linux kötü amaçlı yazılımlarını dağıtmak için 1 günlük güvenlik açıklarını hızla benimsediğini ve bu araçların çoğunlukla uç cihazlarda bulunması nedeniyle radar altında çalıştığını belirtti. “Bu, tehdit aktörlerinin şu ana kadar korumasız bırakılan alanları hedef alma yönünde süregelen eğilimin bir parçası.”