Magnet Goblin组织积极利用公共服务器中的漏洞,在Windows和Linux系统上部署恶意软件。
该组织的目标是1天漏洞,即已发布补丁的公开安全问题,要求攻击者在目标系统上安装更新之前迅速采取行动。
发现Magnet Goblin活动的Check Point分析师指出,该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件(包括NerbianRAT和MiniNerbian),以及自定义JavaScript恶意软件变体WARPWIRE感染服务器,以窃取凭据。
针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用,包括ScreenConnect程序。还可能与CACTUS勒索软件有关,该勒索软件用于攻击Qlik Sense商业智能平台。
特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制(C2)服务器命令并提供加密通信。专家指出,MiniNerbian使用HTTP传输数据,并且仅在特定时间段内处于活动状态。
Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制:MiniNerbian通过HTTP进行通信,NerbianRAT使用原始TCP套接字。
Check Point 表示,在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用,及时修补至关重要。
转自安全客,原文链接:https://www.anquanke.com/post/id/293777
暂无评论内容