Il gruppo di hacker finanziariamente motivato noto come Magnet Goblin sta sfruttando una serie di vulnerabilità denominate “1-day” per compromettere server accessibili pubblicamente e distribuire malware personalizzato su sistemi Windows e Linux.
Le vulnerabilità “1-day” sono difetti di sicurezza divulgati pubblicamente per i quali è stata rilasciata una patch. Gli attori delle minacce devono agire rapidamente per sfruttarli prima che i target applichino gli aggiornamenti di sicurezza.
Sfruttamento rapido e mirato
Gli analisti di Check Point, che hanno identificato le attività di Magnet Goblin, riferiscono che questo gruppo è particolarmente veloce nello sfruttare le vulnerabilità appena divulgate, talvolta agendo già un giorno dopo la pubblicazione di un exploit PoC. Tra i bersagli dei criminali ci sono dispositivi o servizi come Ivanti Connect Secure, Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense e Magento.
Magnet Goblin sfrutta queste vulnerabilità per infettare i server con malware personalizzato, in particolare NerbianRAT e MiniNerbian, oltre a una variante personalizzata del stealer JavaScript WARPWIRE.
Malware personalizzato per Linux
Sebbene NerbianRAT per Windows sia noto dal 2022, Check Point ha ora rivelato l’esistenza di una variante Linux utilizzata da Magnet Goblin, in circolazione dal maggio 2022. Nonostante una compilazione approssimativa, questo malware si dimostra efficace nel raccogliere informazioni di sistema, generare un ID bot, impostare indirizzi IP per la comunicazione e caricare una chiave pubblica RSA per la cifratura delle comunicazioni di rete.
NerbianRAT carica una configurazione che determina i tempi di attività, gli intervalli di comunicazione con il server di comando e controllo (C2) e altri parametri. Il malware può eseguire vari comandi inviati dal C2, dall’esecuzione di comandi Linux all’aggiornamento delle impostazioni di configurazione.
MiniNerbian rappresenta una versione semplificata di NerbianRAT, utilizzata principalmente per l’esecuzione di comandi e l’aggiornamento delle impostazioni di configurazione. A differenza di NerbianRAT, MiniNerbian comunica con il C2 tramite HTTP, offrendo una possibile soluzione di ridondanza o una backdoor più discreta in alcuni casi.
Difesa contro le Vulnerabilità “1-day”
Identificare minacce specifiche come gli attacchi di Magnet Goblin tra il vasto volume di dati sull’exploit “1-day” rappresenta una sfida, consentendo a questi gruppi di nascondersi alla vista nel caos che segue la divulgazione delle vulnerabilità. L’applicazione rapida delle patch è fondamentale per contrastare l’exploit “1-day”, mentre misure aggiuntive come la segmentazione della rete, la protezione degli endpoint e l’autenticazione multi-fattore possono aiutare a mitigare l’impatto di potenziali violazioni.
