一个名为Magnet Goblin的出于经济动机的威胁行为者正在迅速将一日安全漏洞纳入其武器库,以便伺机破坏边缘设备和面向公众的服务,并在受感染的主机上部署恶意软件。
Check Point表示:“威胁组织 Magnet Goblin 的特点是能够迅速利用新披露的漏洞,特别是针对面向公众的服务器和边缘设备。”
“在某些情况下,PoC发布后 1 天内就会部署漏洞,从而显着增加了该攻击者构成的威胁级别。”
对手发起的攻击利用未修补的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据称该组织至少自 2022 年 1 月起就一直活跃。
成功利用此漏洞后,会部署一个名为 Nerbian RAT 的跨平台远程访问木马 (RAT),该木马由 Proofpoint 于 2022 年 5 月首次披露,其简化变种为 MiniNerbian。Darktrace之前曾强调过 Linux 版本 Nerbian RAT 的使用。
这两种病毒都允许执行从命令与控制 (C2) 服务器接收的任意命令,并泄露返回给它的结果。
Magnet Goblin 使用的其他一些工具包括WARPWIRE JavaScript 凭证窃取程序、基于 Go 的隧道软件 Ligolo,以及合法的远程桌面产品(例如 AnyDesk 和 ScreenConnect)。
该公司表示:“Magnet Goblin 的活动似乎是出于经济动机,很快就利用 1 天漏洞来传播他们的定制 Linux 恶意软件、Nerbian RAT 和 MiniNerbian。”
“这些工具在雷达下运行,因为它们大多驻留在边缘设备上。这是威胁行为者瞄准迄今为止尚未受到保护的区域的持续趋势的一部分。”
转自安全客,原文链接:https://www.anquanke.com/post/id/293818
暂无评论内容