Ciberseguridad 360 | Grupo de hackers Magnet Goblin aprovecha los exploits 1-day para implementar Nerbian RAT

Un actor de amenazas con motivaciones financieras llamado Magnet Goblin est� adoptando r�pidamente vulnerabilidades de seguridad 1-day en su arsenal con el fin de violar oportunistamente dispositivos de borde y servicios de cara al p�blico y desplegar malware en hosts comprometidos.

"El sello distintivo del grupo de actores de amenazas Magnet Goblin es su capacidad para aprovechar r�pidamente las vulnerabilidades reci�n reveladas, en particular las dirigidas a servidores p�blicos y dispositivos de borde", dijo Check Point.

"En algunos casos, el despliegue de los exploits se produce en el plazo de 1 d�a despu�s de que se publique una [prueba de concepto], lo que aumenta significativamente el nivel de amenaza planteado por este actor".

Los ataques montados por el adversario han aprovechado los servidores Ivanti Connect Secure VPN, Magento, Qlik Sense y posiblemente Apache ActiveMQ sin parches como vector de infecci�n inicial para obtener acceso no autorizado. Se dice que el grupo est� activo desde al menos enero de 2022.

Una explotaci�n exitosa es seguida por el despliegue de un troyano de acceso remoto (RAT) multiplataforma apodado Nerbian RAT, que fue revelado por primera vez por Proofpoint en mayo de 2022, as� como su variante simplificada llamada MiniNerbian. El uso de la versi�n de Linux de Nerbian RAT fue destacado anteriormente por Darktrace.

Ambas cepas permiten la ejecuci�n de comandos arbitrarios recibidos de un servidor de comando y control (C2) y la exfiltraci�n de los resultados respaldados a �l.

Algunas de las otras herramientas utilizadas por Magnet Goblin incluyen el ladr�n de credenciales JavaScript WARPWIRE, el software de tunelizaci�n basado en Go conocido como Ligolo, y ofertas leg�timas de escritorio remoto como AnyDesk y ScreenConnect.

"Magnet Goblin, cuyas campa�as parecen estar motivadas econ�micamente, se ha apresurado a adoptar vulnerabilidades 1-day para distribuir su malware personalizado para Linux, Nerbian RAT y MiniNerbian", afirma la empresa.

"Estas herramientas han pasado desapercibidas, ya que residen principalmente en dispositivos perif�ricos. Esto forma parte de una tendencia actual de los actores de amenazas a atacar �reas que hasta ahora hab�an quedado desprotegidas."

Fuente: thehackernews.com