Magnet Goblin Group Utiliza Vulnerabilidades de Ivanti Connect Secure VPN, Magento y Qlik Sense
Magnet Goblin es un grupo de ciberdelincuentes que ataca servidores expuestos al público y dispositivos periféricos. De acuerdo con Check Point, este grupo ha utilizado la vulnerabilidad de Ivanti Connect Secure VPN, Magento, Qlik Sense y, posiblemente, servidores de Apache ActiveMQ para penetrar en dispositivos infectados.
Desde enero de 2022, Magnet Goblin ha estado activo en la búsqueda de vulnerabilidades y actúa rápidamente para aprovechar las vulnerabilidades recién descubiertas. Una vez que logran una explotación exitosa, los atacantes implementan un troyano de acceso remoto (RAT) transversal llamado Nerbian RAT o su variante más simplificada, MiniNerbian.
Ambas variantes permiten la ejecución de comandos arbitrarios recibidos desde un servidor de control (C2) y exfiltrar los resultados a este servidor. Magnet Goblin también utiliza herramientas como el secuestrador de credenciales JavaScript denominado WARPWIRE, un software de tunelización basado en Go llamado Ligolo, y ofertas de escritorio remoto legítimas como AnyDesk y ScreenConnect.
Magnet Goblin, con campañas aparentemente motivadas financieramente, ha adoptado rápidamente vulnerabilidades de 1 día para difundir su malware personalizado de Linux, Nerbian RAT y MiniNerbian.
Esta tendencia continua de los actores de amenazas para atacar áreas desprotegidas, como dispositivos periféricos, es una preocupación creciente. La compañía de seguridad, Darktrace, ha señalado previamente su preocupación por el uso de la versión de Linux de Nerbian RAT.
Es clave que las empresas aseguren los dispositivos periféricos y tomen medidas para protegerse contra estos ciberataques. Es importante mantenerse actualizado con los parches de seguridad y tener una solución eficaz de seguridad cibernética que pueda detectar y prevenir estos ataques.
Vía The Hacker News
