Yeni bir tehdit aktörü olan Magnet Goblin, Ivanti Connect Secure VPN'de yakın zamanda açıklanan güvenlik açıklarından (CVE-2023-46805 ve CVE-2023-21887) hızla yararlanarak ortaya çıktı ve bu da onların savunmasız sistemlere özel Linux arka kapıları dağıtmasına olanak tanıdı.
Magnet Goblin'in mali avantaj elde etmek için benzer taktikler kullanarak Magento, Qlik Sense ve potansiyel olarak Apache ActiveMQ gibi platformları hedefleme geçmişi vardır.
Stratejileri, tehlikeye atılmış sistemlerde arka kapılar oluşturmak için yeni keşfedilen güvenlik açıklarını hızla benimsemeyi içeriyor. Bu arka kapılar, potansiyel mali kazanç için bir günlük güvenlik açıklarından yararlanarak verileri çalmalarına veya yetkisiz erişim elde etmelerine olanak tanır.
Mali odaklı bir siber suç grubu, uç cihazlardaki ve genel sunuculardaki zayıflıklardan yararlanıyor.
- Magento – CVE-2022-24086
- Qlik Sense – CVE-2023-41265, CVE-2023-41266 ve CVE-2023-48365
- Ivanti Connect Güvenli – CVE-2023-46805 ve CVE-2024-21887, CVE-2024-21888 ve CVE-2024-21893.
Özel yapım Nerbian kötü amaçlı yazılım ailesi, tam uzaktan kontrol için NerbianRAT (platformlar arası) ve arka kapı erişimini sürdürmek için MiniNerbian (Linux'a özgü) gibi araçlar içerir.
Geçmiş Magnet Goblin kampanyaları.
Kamu Sunucularının Özel Kötü Amaçlı Yazılımlarla Hızlı Suistimal Edilmesi
Ivanti'nin son zamanlardaki istismarlarına ilişkin bir araştırma, NerbianRAT kötü amaçlı yazılımının Linux versiyonuyla bağlantılı indirmeleri ortaya çıkardı; bu yazılım, saldırgan tarafından kontrol edilen bir sunucudan WARPWIRE JS hırsızı ve Ligolo tünel açma aracı da dahil olmak üzere çeşitli kötü amaçlı yükler getiriyordu.
Saldırganların kötü amaçlı sunucuları, güvenlik açıklarını bulduktan sonra NerbianRAT kötü amaçlı yazılımının yeni bir sürümünü almalarına izin verdi.
- http://94.156.71[.]115/lxrt
- http://91.92.240[.]113/Aparşe2
- http://45.9.149[.]215/aparşe2
NerbianRAT'ın yanı sıra, VPN kimlik bilgilerini çalan ve bunları güvenliği ihlal edilmiş bir Magento sunucusuna gönderen özel bir WARPWIRE çeşidi kullanıyor. Bu, tehdit aktörünün çoklu araç yaklaşımını vurgulamaktadır.
Altyapı Analizi:
Yukarıda bahsedilen Linux araçlarının ötesinde, Magnet Goblin'in cephaneliği Windows'a da uzanıyor. Uzaktan erişim için ScreenConnect (sunucularından indirilen) ve AnyDesk gibi yasal araçlardan yararlanırlar.
İlginç bir şekilde, ScreenConnect indirmeleri için kullanılan IP, güvenliği ihlal edilmiş Qlik Sense sunucularında gözlemlenen IP ile aynı hizadadır ve bu da daha geniş bir istismar girişimini akla getirir.
Kanıtlar, hem Cactus fidye yazılımıyla (gözlemlenen taktiklere dayanarak) hem de Apache ActiveMQ güvenlik açıklarıyla (indirilen dosyalara dayanarak) olası bağlantıları gösteriyor.
AnyDesk'i indiren ve çalıştıran BAT komut dosyalarını dağıtmak için ele geçirilen Magento sunucuları kullanıldı ve bu tehdit aktörü tarafından kullanılan çeşitli araçlar daha da sergilendi.
NerbianRAT, ilk olarak Mayıs 2022'de gözlemlenen bir Linux arka kapısıdır. Karartması zayıftır ve anti-analiz tekniklerinden yoksundur. Yürütülmesinin ardından, virüslü makine hakkında temel bilgileri toplar ve benzersiz bir bot kimliği oluşturur.
Daha sonra çalışma dizininin şifresini çözer ve C2 sunucu adresi, çalışma saatleri ve şifreleme için ortak anahtar gibi çeşitli ayarları içeren bir yapılandırma dosyasını arar.
Ham TCP soketleri ve özel bir protokol kullanarak C2 sunucusuyla iletişim kurar ve iletilen veri türüne bağlı olarak veriler AES veya RSA kullanılarak şifrelenir.
Arka kapı iki temel durumda çalışır: çalışma saatleri sırasında (yapılandırmada tanımlandığı gibi), C2 sunucusuna veri gönderir ve talimatları bekler; çalışma saatleri dışında da sunucuya “ping” mesajları gönderebilir.
MiniNerbian, komut yürütme için NerbianRAT'ı basitleştirir ve sistem komutlarını yürütmek, dahili zaman işaretini değiştirmek ve yapılandırmayı güncellemek için C2 sunucusuna HTTP POST istekleri gönderir.
Siber güvenlikte, yaygın fırsatçı istismar saldırıları arasında belirli faaliyetleri ayırt etmek, teknik ve niteliksel karmaşıklıklar nedeniyle zordur.
Savunmacılar sıklıkla müdahale ve hafifletme önlemlerine öncelik veriyor, bazen bu durumlardan yararlanan benzersiz aktörlerin faaliyetlerini kaçırıyor.
Yakın tarihli bir örnek, cihazlara yama yapılmadan önce güvenlik açığından yararlanan Magnet Goblin de dahil olmak üzere çeşitli tehdit aktörlerinin Ivanti Secure Connect VPN'den yararlanmasıdır.
Finansal kazançların motivasyonuyla Magnet Goblin, NerbianRAT ve MiniNerbian gibi özel Linux kötü amaçlı yazılımlarını dağıtmak için öncelikle korumasız uç cihazları hedef alan bir günlük güvenlik açıklarından hızla yararlandı.
IOC'ler:
| Tip | Değer | Tanım |
| IP | 91.92.240[.]113 | Mıknatıslı Goblin Altyapısı |
| IP | 45.9.149[.]215 | Mıknatıslı Goblin Altyapısı |
| IP | 94.156.71[.]115 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://91.92.240[.]113/auth.js | Mıknatıslı Goblin Altyapısı |
| URL'si | http://91.92.240[.]113/login.cgi | Mıknatıslı Goblin Altyapısı |
| URL'si | http://91.92.240[.]113/Aparşe2 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://91.92.240[.]113/acente | Mıknatıslı Goblin Altyapısı |
| URL'si | http://45.9.149[.]215/aparşe2 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://45.9.149[.]215/acente | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/lxrt | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/acente | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/install.ps1 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/ligocert.dat | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/angel.dat | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/windows.xml | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/install1.ps1 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/Bakım.ps1 | Mıknatıslı Goblin Altyapısı |
| URL'si | http://94.156.71[.]115/baba.dat | Mıknatıslı Goblin Altyapısı |
| URL'si | **http://**bulut-analitiği[.]com/files/mg/elf/RT1.50.png | Mıknatıslı Goblin Altyapısı |
| URL'si | http://bulut alevleri[.]com/assets/img/Image_Slider15.1.png | Mıknatıslı Goblin Altyapısı |
| İhtisas | mailchimp-eklentileri[.]iletişim | MiniNerbian C2 |
| İhtisas | allsecurehosting[.]iletişim | MiniNerbian C2 |
| İhtisas | dev-clientservice[.]iletişim | MiniNerbian C2 |
| İhtisas | oncloud-analytics[.]iletişim | MiniNerbian C2 |
| İhtisas | Bulut flareaddons[.]iletişim | MiniNerbian C2 |
| İhtisas | metinlermsonline[.]iletişim | MiniNerbian C2 |
| İhtisas | önceden almak[.]iletişim | MiniNerbian C2 |
| IP | 172.86.66[.]165 | NerbianRAT C2 |
| IP | 45.153.240[.]73 | NerbianRAT C2 |
| SHA256 | 027d03679f7279a2c505f0677568972d30bc27daf43033a463fafeee0d7234f6 | NerbianRAT |
| SHA256 | 9cb6dc863e56316364c7c1e51f74ca991d734dacef9029337ddec5ca684c1106 | NerbianRAT |
| SHA256 | 9d11c3cf10b20ff5b3e541147f9a965a4e66ed863803c54d93ba8a07c4aa7e50 | NerbianRAT |
| SHA256 | d3fbae7eb3d38159913c7e9f4c627149df1882b57998c8acaac5904710be2236 | MiniNerbian |
| SHA256 | df91410df516e2bddfd3f6815b3b4039bf67a76f20aecabccffb152e5d6975ef | MiniNerbian |
| SHA256 | 99fd61ba93497214ac56d8a0e65203647a2bc383a2ca2716015b3014a7e0f84d | MiniNerbian |
| SHA256 | 9ff0dcce930bb690c897260a0c5aaa928955f4ffba080c580c13a32a48037cf7 | MiniNerbian |
| SHA256 | 3367a4c8bd2bcd0973f3cb22aa2cb3f90ce2125107f9df2935831419444d5276 | MiniNerbian |
| SHA256 | f23307f1c286143b974843da20c257901cf4be372ea21d1bb5dea523a7e2785d | MiniNerbian |
| SHA256 | f1e7c1fc06bf0ea40986aa20e774d6b85c526c59046c452d98e48fe1e331ee4c | MiniNerbian |
| SHA256 | 926aeb3fda8142a6de8bc6c26bc00e32abc603c21acd0f9b572ec0484115bb89 | MiniNerbian |
| SHA256 | 894ab5d563172787b052f3fea17bf7d51ca8e015b0f873a893af17f47b358efe | MiniNerbian |
| SHA256 | 1079e1b6e016b070ebf3e1357fa23313dcb805d3a6805088dbc3ab6d39330548 | ÇÖZGÜ TEL |
| SHA256 | e134e053a80303d1fde769e50c2557ade0852fa827bed9199e52f67bac0d9efc | ÇÖZGÜ TEL |
| URL'si | www.fernandestechnical[.]com/pub/health_check.php | Güvenliği ihlal edilmiş sunucu |
| URL'si | Kül sarışın[.]com/pub/health_check.php | Güvenliği ihlal edilmiş sunucu |
| URL'si | ****www.miltonhouse[.]nl/pub/opt/processor.php | Güvenliği ihlal edilmiş sunucu |
| URL'si | https://kökleri[.]in/pub/media/avatar/223sam.jpg | Güvenliği ihlal edilmiş sunucu |
| SHA256 | 7967def86776f36ab6a663850120c5c70f397dd3834f11ba7a077205d37b117f | Diğer: Araçlar ve komut dosyaları |
| SHA256 | 9895286973617a79e2b19f2919190a6ec9afc07a9e87af3557f3d76b252292df | Diğer: Araçlar ve komut dosyaları |
| SHA256 | bd9edc3bf3d45e3cdf5236e8f8cd57a95ca3b41f61e4cd5c6c0404a83519058e | Diğer: Araçlar ve komut dosyaları |
| SHA256 | b35f11d4f54b8941d4f1c5b49101b67b563511a55351e10ad4ede17403529c16 | Diğer: Araçlar ve komut dosyaları |
| SHA256 | 7b1d1e639d1994c6235d16a7ac583e583687660d7054a2a245dd18f24d10b675 | Diğer: Araçlar ve komut dosyaları |
| SHA256 | 8fe1ed1e34e8758a92c8d024d73c434665a03e94e5eb972c68dd661c5e252469 | Diğer: Araçlar ve komut dosyaları |
| SHA256 | fa317b071da64e3ee18d82d3a6a216596f2b4bca5f4d3277a091a137d6a21c45 | Diğer: Araçlar ve komut dosyaları |
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.