Un actor de amenazas motivado financieramente llamado Duende magnético está adoptando rápidamente vulnerabilidades de seguridad de un día en su arsenal para violar de manera oportunista los dispositivos periféricos y los servicios públicos e implementar malware en hosts comprometidos.
«El sello distintivo del grupo de actores de amenazas Magnet Goblin es su capacidad para aprovechar rápidamente las vulnerabilidades recientemente reveladas, particularmente dirigidas a servidores públicos y dispositivos periféricos», Check Point dicho.
«En algunos casos, el despliegue de los exploits se produce dentro de 1 día después de un [proof-of-concept] se publica, lo que aumenta significativamente el nivel de amenaza que representa este actor».
Los ataques organizados por el adversario han aprovechado servidores Ivanti Connect Secure VPN, Magento, Qlik Sense y posiblemente Apache ActiveMQ sin parches como vector de infección inicial para obtener acceso no autorizado. Se dice que el grupo está activo desde al menos enero de 2022.
A una explotación exitosa le sigue la implementación de un troyano de acceso remoto (RAT) multiplataforma denominado Nerbian RAT, que fue revelado por primera vez por Proofpoint en mayo de 2022, así como su variante simplificada llamada MiniNerbian. El uso de la versión Linux de Nerbian RAT fue previamente resaltado por Darktrace.
Ambas cepas permiten la ejecución de comandos arbitrarios recibidos de un servidor de comando y control (C2) y la extracción de los resultados respaldados en él.
Algunas de las otras herramientas utilizadas por Magnet Goblin incluyen el ladrón de credenciales JavaScript WARPWIRE, el software de túnel basado en Go conocido como Ligolo y ofertas legítimas de escritorio remoto como AnyDesk y ScreenConnect.
«Magnet Goblin, cuyas campañas parecen tener motivaciones financieras, se apresuró a adoptar vulnerabilidades de 1 día para entregar su malware personalizado para Linux, Nerbian RAT y MiniNerbian», dijo la compañía.
«Esas herramientas han operado bajo el radar, ya que residen en su mayoría en dispositivos periféricos. Esto es parte de una tendencia actual de los actores de amenazas a apuntar a áreas que hasta ahora han quedado desprotegidas».