【安全圈】一天就完成！Magnet Goblin Hacker Group 利用漏洞成功部署 Nerbian RAT

一个名为 Magnet Goblin 的出于经济动机的威胁行为者正在迅速将一天安全漏洞纳入其武器库，以便投机取巧地破坏边缘设备和面向公众的服务，并在受感染的主机上部署恶意软件。

Check Point说：“威胁行为者组织Magnet Goblin的标志是它能够迅速利用新披露的漏洞，特别是针对面向公众的服务器和边缘设备。

“在某些情况下，漏洞利用的部署是在[概念验证]发布后的 1 天内完成的，这大大增加了该行为者构成的威胁级别。”

攻击者发起的攻击利用未打补丁的 Ivanti Connect Secure VPN、Magento、Qlik Sense 以及可能的 Apache ActiveMQ 服务器作为初始感染媒介来获得未经授权的访问。据说该组织至少从 2022 年 1 月开始活跃。

成功利用后，部署了一个名为 Nerbian RAT 的跨平台远程访问木马 （RAT），该木马于 2022 年 5 月由 Proofpoint 首次披露，以及其名为 MiniNerbian 的简化变体。Darktrace 之前强调了 Linux 版本的 Nerbian RAT 的使用。

这两种菌株都允许执行从命令和控制 （C2） 服务器接收的任意命令，并泄露备份给它的结果。

Magnet Goblin 使用的其他一些工具包括 WARPWIRE JavaScript 凭据窃取程序、基于 Go 的隧道软件 Ligolo，以及合法的远程桌面产品，例如 AnyDesk 和 ScreenConnect。

该公司表示：“Magnet Goblin的活动似乎是出于经济动机，它迅速采用了1天漏洞来提供他们的定制Linux恶意软件Nerbian RAT和MiniNerbian。

“这些工具一直在雷达下运行，因为它们主要驻留在边缘设备上。这是威胁行为者瞄准迄今为止未受保护的区域的持续趋势的一部分。