Magnet Goblin Hacker Grubu, Nerbian RAT'ı Dağıtmak için 1 Günlük İstismarlardan Yararlanıyor
Magnet Goblin adlı finansal olarak motive olmuş bir tehdit aktörü, uç cihazları ve halka açık hizmetleri fırsatçı bir şekilde ihlal etmek ve güvenliği ihlal edilmiş ana bilgisayarlara kötü amaçlı yazılım dağıtmak için bir günlük güvenlik açıklarını hızla cephaneliğine dahil ediyor.
Check Point, "Tehdit aktörü grubu Magnet Goblin'in ayırt edici özelliği, özellikle halka açık sunucuları ve uç cihazları hedef alan yeni açıklanan güvenlik açıklarından hızla yararlanma yeteneğidir" dedi.
"Bazı durumlarda, istismarların konuşlandırılması, bir [kavram kanıtı] yayınlandıktan sonraki 1 gün içinde gerçekleşir ve bu aktörün oluşturduğu tehdit seviyesini önemli ölçüde artırır."
Saldırgan tarafından gerçekleştirilen saldırılar, yetkisiz erişim elde etmek için ilk bulaşma vektörü olarak yamalanmamış Ivanti Connect Secure VPN, Magento, Qlik Sense ve muhtemelen Apache ActiveMQ sunucularından yararlandı. Grubun en az Ocak 2022'den beri aktif olduğu söyleniyor.
Başarılı bir istismarı, ilk olarak Mayıs 2022'de Proofpoint tarafından açıklanan Nerbian RAT adlı platformlar arası bir uzaktan erişim truva atının (RAT) ve MiniNerbian adlı basitleştirilmiş varyantının dağıtımı takip ediyor. Nerbian RAT'ın Linux sürümünün kullanımı daha önce Darktrace tarafından vurgulanmıştı.
Her iki suş da bir komuta ve kontrol (C2) sunucusundan alınan rastgele komutların yürütülmesine ve sonuçların ona geri aktarılmasına izin verir.
Magnet Goblin tarafından kullanılan diğer araçlardan bazıları, WARPWIRE JavaScript kimlik bilgisi hırsızı, Ligolo olarak bilinen Go tabanlı tünelleme yazılımı ve AnyDesk ve ScreenConnect gibi meşru uzak masaüstü tekliflerini içerir.
Şirket, "Kampanyaları finansal olarak motive edilmiş gibi görünen Magnet Goblin, özel Linux kötü amaçlı yazılımlarını, Nerbian RAT ve MiniNerbian'ı teslim etmek için 1 günlük güvenlik açıklarını hızlı bir şekilde benimsedi" dedi.
"Bu araçlar, çoğunlukla uç cihazlarda bulundukları için radarın altında çalıştı. Bu, tehdit aktörlerinin şimdiye kadar korumasız bırakılan alanları hedef alma eğiliminin bir parçası."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı