Magnet Goblin Hackerları Linux Sunucularındaki 1 Günlük Açıklardan Yararlanıyor

   Mart 11, 2024  Posted in CyberSecurityNews


Magnet Goblin Hackerları Linux Sunucularına Saldırmak İçin 1 Günlük Güvenlik Açıklarından Yararlanıyor

Tehdit aktörleri, kritik altyapı, web barındırma ve bulut ortamlarındaki yaygın kullanımları nedeniyle sıklıkla Linux sunucularını hedef alıyor.

Linux işletim sisteminin açık kaynak yapısı, tehdit aktörlerinin koddaki güvenlik açıklarını incelemesine olanak tanır.

Check Point'teki siber güvenlik araştırmacıları yakın zamanda Magnet Goblin korsanlarının Linux sunucularına saldırmak için 1 günlük güvenlik açıklarından aktif olarak yararlandığını keşfetti.

“1 günlük kusurlar”, kamuya açıklanan ve halihazırda bir yama yayınlanmış olan güvenlik açıklarıdır.

Bu güvenlik açıklarından yararlanmak, tehdit aktörlerinin, hedef güvenlik güncellemelerini uygulamadan önce hızlı hareket etmesini gerektirir.

Saldırganlar, sistemlerine veya hassas bilgilerine yetkisiz erişim sağlamak için bu bilinen güvenlik açıklarından kolayca yararlanabileceğinden, bu tür kusurlar, yamaları uygulamakta yavaş olan kuruluşlar için önemli bir risk oluşturabilir.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın

    • Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:

Mıknatıs Goblin Hackerları

Ivanti Connect Secure VPN güvenlik açıklarından (CVE-2023-46805, CVE-2023-21887) geniş çapta yararlanılıyor.

Check Point Research, Magnet Goblin aktörü de dahil olmak üzere etkinlik kümelerini takip etti. NerbianRAT Linux varyantını analiz etti ve aynı aktörle bağlantılı, ilişkilendirilmemiş saldırıları ortaya çıkardı.

Magnet Goblin, 1 günlük güvenlik açıklarını benimser ve finansal kazanç için özel Linux arka kapılarını dağıtır. Magnet Goblin, Ivanti, Magento, Qlik Sense, Apache ActiveMQ ve ConnectWise ScreenConnect'i vurdu.

Bazı saldırılar halka açıktı ancak şu ana kadar ilişkilendirilmemişti. Magnet Goblin, 1 günlük hatalardan ve uç cihazlardan yararlanan, finansal motivasyona sahip bir tehdit aktörüdür.

Geçmiş Magnet Goblin kampanyalarının zaman çizelgesi (Kaynak – CheckPoint)

NerbianRAT (Windows/Linux RAT) ve MiniNerbian (Linux arka kapısı) gibi özel kötü amaçlı yazılımları kullanır. İlişkilendirilmemiş tüm önceki faaliyetler, 1 günlük hızlı bir benimseme modeli gösterirken: –

  • Magento: CVE-2022-24086
  • Qlik Sense: CVE-2023-41265, CVE-2023-41266, CVE-2023-48365
  • Ivanti: CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893

Ivanti istismar takibi, saldırgan altyapısından gelen çeşitli yükler yoluyla NerbianRAT Linux dağıtımını ortaya çıkardı. Saldırı sonrası yeni NerbianRAT çeşidi saldırgan sunucularından indirilirken yük URL'leri şöyledir: –

  • http://94.156.71[.]115/lxrt
  • http://91.92.240[.]113/Aparşe2
  • http://45.9.149[.]215/aparşe2

NerbianRAT ve özel bir WARPWIRE çeşidi, Ivanti Connect Secure güvenlik açıklarından yararlanan Magnet Goblin tarafından kullanıldı.

WARPWIRE, VPN kimlik bilgilerini “https”ye gönderen basit bir hırsızdır[:]//www[.]Miltonhouse[.]nl/pub/opt/processor.php.”

Analiz, güvenliği ihlal edilmiş bir Magento sunucusuna işaret ediyor. Magnet Goblin, 2022'de daha küçük bir Linux NerbianRAT sürümü olan MiniNerbian'ı dağıtarak bu tür sunucuları hedef aldı.

Güvenliği ihlal edilmiş Magento sunucuları (Kaynak – CheckPoint)

Magnet Goblin'in cephaneliği, Magneto ve Ivanti kampanyalarında kullanılan Linux araçlarının ötesine uzanıyor. Ligolo tünel açma aracını, Windows RMM ScreenConnect'i (94.156.71.115) ve AnyDesk'i içerir.

Potansiyel Cactus Ransomware bağlantısı (TTP'ler genel raporlarla eşleşiyor). Apache ActiveMQ'dan yararlanma girişimleri XML verilerinden açıkça görülmektedir.

Güvenliği ihlal edilmiş Magento sunucusu biondocenere[.]com, BAT betiği aracılığıyla AnyDesk dağıtımı için kullanılır. Burada 23.184.48.132, ScreenConnect veri yüklerine bağlandı.

NerbianRAT Windows çeşidi ilk olarak 2022'de ProofPoint tarafından tanıtıldı ve Avrupalı ​​varlıkları hedef alan Kovid-19 yemi aracılığıyla sunuldu.

Kimin-uluslararası kullanıldığı belirsiz kampanya hedefleri[.]com alan adı diğer siber suçlarla bağlantılıdır.

Orijinal Windows sürümü, güvenliği ihlal edilmiş Magento sunucusu fernandestechnical'den yararlandı[.]C2 için com/pub/health_check.php, Magnet Goblin'in Taktiklerine uygun olarak.

MiniNerbian, NerbianRAT ile kod paylaşan, ancak benzer şifreleme ve dize şifre çözme işlevlerine sahip yeni kötü amaçlı yazılımları paylaşan, komut yürütmeye yönelik geliştirilmiş bir NerbianRAT çeşididir.

Siber tehditler dünyasında, belirli etkinlikleri veya siber saldırıları tespit etmek ve ilişkilendirmek zorlu bir iştir.

Mali motivasyona sahip bu grup, Linux kötü amaçlı yazılımları için 1 günlük güvenlik açıklarını benimsiyor ve uç cihazlarda radar altında çalışmak, daha önce korunmasız alanları hedefleme konusunda giderek büyüyen bir trend.

Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link