Một tin tặc có động cơ tài chính được gọi là Magnet Goblin đang nhanh chóng áp dụng các lỗ hổng bảo mật một ngày vào kho vũ khí của mình để vi phạm cơ hội các thiết bị biên và dịch vụ công khai và triển khai phần mềm độc hại trên các máy chủ bị xâm nhập.
"Dấu ấn của nhóm tác nhân đe dọa Magnet Goblin là khả năng nhanh chóng tận dụng các lỗ hổng mới được tiết lộ, đặc biệt là nhắm mục tiêu vào các máy chủ và thiết bị biên công khai", Check Point cho biết.
"Trong một số trường hợp, việc triển khai khai thác là trong vòng 1 ngày sau khi [bằng chứng khái niệm] được công bố, làm tăng đáng kể mức độ đe dọa do tác nhân này gây ra."
Các cuộc tấn công do kẻ thù thực hiện đã tận dụng các máy chủ Ivanti Connect Secure VPN, Magento, Qlik Sense và có thể là Apache ActiveMQ chưa được vá như một vectơ lây nhiễm ban đầu để truy cập trái phép. Nhóm này được cho là hoạt động ít nhất từ tháng 1/2022.
Tiếp theo là việc triển khai trojan truy cập từ xa đa nền tảng (RAT) có tên Nerbian RAT, được Proofpoint tiết lộ lần đầu tiên vào tháng 5/2022, cũng như biến thể đơn giản hóa của nó có tên MiniNerbian. Việc sử dụng phiên bản Linux của Nerbian RAT trước đây đã được Darktrace nhấn mạnh.
Cả hai chủng đều cho phép thực hiện các lệnh tùy ý nhận được từ máy chủ chỉ huy và kiểm soát (C2) và trích xuất các kết quả được sao lưu cho nó.
Một số công cụ khác được Magnet Goblin sử dụng bao gồm trình đánh cắp thông tin xác thực JavaScript WARPWIRE, phần mềm đường hầm dựa trên Go được gọi là Ligolo và các dịch vụ máy tính từ xa hợp pháp như AnyDesk và ScreenConnect.
"Magnet Goblin, với các chiến dịch dường như có động cơ tài chính, đã nhanh chóng áp dụng các lỗ hổng 1 ngày để phân phối phần mềm độc hại Linux tùy chỉnh của họ, Nerbian RAT và MiniNerbian", công ty cho biết.
"Những công cụ đó đã hoạt động dưới radar vì chúng chủ yếu nằm trên các thiết bị biên. Đây là một phần của xu hướng đang diễn ra đối với các tác nhân đe dọa nhắm mục tiêu vào các khu vực mà cho đến nay vẫn chưa được bảo vệ".