Un acteur menaçant motivé par des raisons financières appelé Aimant Gobelin intègre rapidement des vulnérabilités de sécurité d’un jour dans son arsenal afin de pirater de manière opportuniste les appareils de périphérie et les services publics et de déployer des logiciels malveillants sur des hôtes compromis.
“La marque distinctive du groupe d’acteurs menaçants Magnet Goblin est sa capacité à exploiter rapidement les vulnérabilités récemment révélées, en ciblant particulièrement les serveurs publics et les appareils de pointe”, Check Point dit.
“Dans certains cas, le déploiement des exploits s’effectue dans un délai d’un jour après une [proof-of-concept] est publié, ce qui augmente considérablement le niveau de menace posé par cet acteur.”
Les attaques lancées par l’adversaire ont exploité les serveurs Ivanti Connect Secure VPN, Magento, Qlik Sense et éventuellement Apache ActiveMQ non corrigés comme vecteur d’infection initial pour obtenir un accès non autorisé. Le groupe serait actif depuis au moins janvier 2022.
Une exploitation réussie est suivie par le déploiement d’un cheval de Troie d’accès à distance (RAT) multiplateforme baptisé Nerbian RAT, qui a été divulgué pour la première fois par Proofpoint en mai 2022, ainsi que de sa variante simplifiée appelée MiniNerbian. L’utilisation de la version Linux de Nerbian RAT a été précédemment mis en évidence par Darktrace.
Les deux souches permettent d’exécuter des commandes arbitraires reçues d’un serveur de commande et de contrôle (C2) et d’exfiltrer les résultats qui y sont sauvegardés.
Certains des autres outils utilisés par Magnet Goblin incluent le voleur d’informations d’identification JavaScript WARPWIRE, le logiciel de tunneling basé sur Go connu sous le nom de Ligolo et des offres de bureau à distance légitimes telles que AnyDesk et ScreenConnect.
“Magnet Goblin, dont les campagnes semblent motivées par des raisons financières, a rapidement adopté des vulnérabilités d’un jour pour diffuser ses logiciels malveillants Linux personnalisés, Nerbian RAT et MiniNerbian”, a déclaré la société.
“Ces outils ont fonctionné sous le radar car ils résident pour la plupart sur des appareils de pointe. Cela fait partie d’une tendance actuelle des acteurs malveillants à cibler des zones qui jusqu’à présent n’étaient pas protégées.”




