Grupo de Hackers Goblin Magnet Explora Exploits de 1 Dia para Implantar RAT Nerbian
11 de Março de 2024

Um ator de ameaças motivado financeiramente chamado Magnet Goblin está adotando rapidamente as vulnerabilidades de segurança de um dia em seu arsenal para violar oportunisticamente dispositivos de borda e serviços públicos e implantar malware em hosts comprometidos.

"Um marco do grupo de atores de ameaças Magnet Goblin é sua capacidade de alavancar rapidamente vulnerabilidades recém-divulgadas, visando principalmente servidores de interface pública e dispositivos de borda", disse a Check Point.

"Em alguns casos, a implantação dos exploits ocorre dentro de 1 dia após a publicação de um [prova de conceito], aumentando significativamente o nível de ameaça representado por esse ator."

Ataques realizados pelo adversário exploraram servidores Ivanti Connect Secure VPN não corrigidos, Magento, Qlik Sense e, possivelmente, Apache ActiveMQ como um vetor de infecção inicial para ganhar acesso não autorizado.

Afirma-se que o grupo está ativo desde pelo menos janeiro de 2022.

Uma exploração bem-sucedida é seguida pela implantação de um trojan de acesso remoto (RAT) multiplataforma chamado Nerbian RAT, divulgado pela primeira vez pela Proofpoint em maio de 2022, bem como sua variante simplificada chamada MiniNerbian.

O uso da versão Linux do Nerbian RAT foi destacado anteriormente pela Darktrace.

Ambas as cepas permitem a execução de comandos arbitrários recebidos de um servidor de comando e controle (C2) e a exfiltração dos resultados para ele.

Algumas das outras ferramentas usadas pelo Magnet Goblin incluem o ladrão de credenciais em JavaScript WARPWIRE, o software de tunelamento baseado em Go conhecido como Ligolo, e ofertas legítimas de desktop remoto, como AnyDesk e ScreenConnect.

"Magnet Goblin, cujas campanhas parecem ser motivadas financeiramente, foi rápido ao adotar vulnerabilidades de 1 dia para entregar seu malware personalizado Linux, Nerbian RAT e MiniNerbian," a empresa disse.

"Essas ferramentas operaram sob o radar, pois residem principalmente em dispositivos de borda.

Esta é parte de uma tendência contínua de atores de ameaças visarem áreas que até agora estavam desprotegidas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...