Группа Magnet Goblin эксплуатирует уязвимости нулевого дня, то есть недавно обнаруженные уязвимости, и пользуется нарастающей суматохой для установки RAT-троянов в системы Windows и Linux.

Первый день самый опасный

Финансово мотивированная группа под названием «Магнит Гоблин» использует арсенал недавно обнаруженных уязвимостей для взлома серверов, доступных для внешних подключений; На атакуемые машины устанавливается специальное вредоносное ПО для Windows и Linux.

Группа активно отслеживает информацию о новых уязвимостях и, как правило, речь идет о публикациях самих вендоров. В подавляющем большинстве случаев производители продуктов, обнаружившие уязвимости, публикуют информацию о них одновременно с выпуском патчей. Однако между выпуском обновлений и их установкой на клиентские устройства часто возникает задержка. Этот период открывает хакерам «окно возможностей».

«На самом деле это самое опасное время, особенно если уязвимости критичны и влияют на популярные события», — говорит Михаил Зайцев, эксперт по информационной безопасности SEQ. По его словам, в период между выпуском патчей и их установкой хакеры имеют возможность провести реверс-инжиниринг самих обновлений, тем самым узнавая, какая проблема устраняется и как ее эксплуатировать, создавать эксплойт и запускать атаки.

25_12_23_ib_700.jpg
Киберпреступная группировка «Магнит Гоблин» использует «Зиродей» для установки вредоносного ПО на Windows и Linux

Однако члены «Магнитного гоблина» отслеживают экспериментальные эксплойты (Proof-of-Concept, PoC), которые специалисты по информационной безопасности зачастую разрабатывают вскоре после публикации информации о новых уязвимостях.

Как отметили в Check Point Security, Magnet Goblin часто запускает атаки на уязвимости на следующий день после выхода пробных эксплойтов. То есть они, видимо, занимаются превращением экспериментальных подвигов других в практические подвиги.

ЧИТАТЬ   Представляем Microsoft 365 Copilot | Ваш второй пилот для работы

Известные уязвимости

Существует ряд новых или относительно новых известных уязвимостей, которые Магнит Гоблин использует особенно активно. Они касаются Ivanti Connect Secure, Magento, Apache ActiveMQ, ConnectWise ScreenConnect и Qlik Sense.

Конечная цель Goblin — установить специализированное вредоносное ПО собственного производства, в том числе NerbianRAT и MiniNerbian, а также переработанную версию Warpwire, похитителя информации, написанного на JavaScript.

NerbianRAT для Windows впервые был перехвачен в 2022 году, но теперь, как установила Check Point, появилась версия для Linux. Это неряшливо в исполнении, но вполне эффективно. По мнению экспертов Check Point, версия Linux также находится в ротации с 2022 года.

При первом запуске вредоносная программа собирает системные данные, такие как время, имя машины и имя пользователя, затем устанавливает соединение с сервером управления (используя заранее заданный IP-адрес), создает рабочий каталог и загружает ключ шифрования RSA для дальнейшей связи с операторами. или управляющий сервер.

Почему «Норильский никель» отказался от Telegram в своих корпоративных коммуникациях и что вместо него использует?

Сканирование

aleksej lyamin 600

После этого NerbianRAT загружает свои «рабочие» настройки, определяющие время его работы, связь с сервером и другие параметры.

Сервер управления может отправлять троянцу ряд команд для локального выполнения или остановки действий, а также перенастройки времени работы.

MiniNerbian — упрощенная версия первого троянца, но тем не менее вполне функциональная. Операторы Магнитных Гоблинов, вероятно, используют это как запасной вариант.

Александр Осипов, «МегаФон»: Эффективность киберзащиты повысится, если сократить рутинную нагрузку специалистов

безопасность

2 crop 600 400

В публикации Check Point указывается, что в первые дни после публикации информации об очередной уязвимости собирается огромное количество данных о попытках эксплуатации вновь обнаруженного «бага». Этим фактом пользуются и операторы Магнитного Гоблина: в возникшем хаосе обнаружить их атаки оказывается весьма проблематично, поэтому они буквально прячутся на виду.

ЧИТАТЬ   Песков: Путин открыт для «любых контактов» для достижения целей России средствами, кроме спецопераций

Единственная гарантия защиты – максимально быстрая установка патчей. Однако крайне подходят и другие стандартные меры: сегментация сети, защита конечных точек и многофакторная аутентификация — все это снижает риски и шансы на успех злоумышленников.

Ромен Георгиев

Source

От admin