Magnet Goblin 组织:利用公共服务器在 Windows 和Linux上部署恶意软件

Magnet Goblin组织积极利用公共服务器中的漏洞,在Windows和Linux系统上部署恶意软件。

该组织的目标是1天漏洞,即已发布补丁的公开安全问题,要求攻击者在目标系统上安装更新之前迅速采取行动。

发现Magnet Goblin活动的Check Point分析师指出,该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件(包括NerbianRAT和MiniNerbian),以及自定义JavaScript恶意软件变体WARPWIRE感染服务器,以窃取凭据。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科Magnet Goblin 组织:利用公共服务器在 Windows 和Linux上部署恶意软件

针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用,包括ScreenConnect程序。还可能与CACTUS勒索软件有关,该勒索软件用于攻击Qlik Sense商业智能平台。

特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制(C2)服务器命令并提供加密通信。专家指出,MiniNerbian使用HTTP传输数据,并且仅在特定时间段内处于活动状态。

Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制:MiniNerbian通过HTTP进行通信,NerbianRAT使用原始TCP套接字。

Check Point 表示,在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用,及时修补至关重要。


转自安全客,原文链接:https://www.anquanke.com/post/id/293777

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容