Los investigadores de seguridad han descubierto una tendencia que implica la explotación de vulnerabilidades de 1 día, incluidas dos en Ivanti Connect Secure VPN.
Las fallas, identificadas como CVE-2023-46805 y CVE-2023-21887, fueron rápidamente explotadas por múltiples actores de amenazas, lo que dio lugar a diversas actividades maliciosas. Al rastrear estos exploits, el equipo de Check Point Research (CPR) dijo que encontró un grupo de actividades atribuidas a un actor de amenazas denominado Magnet Goblin.
Se ha observado que el actor aprovecha metódicamente las vulnerabilidades de 1 día, particularmente dirigidas a dispositivos periféricos como Ivanti Connect Secure VPN. Magnet Goblin utiliza malware personalizado de Linux para obtener ganancias financieras.
Estos exploits implican la implementación de malware a través de una variedad de métodos, incluida la explotación de vulnerabilidades en Magento, Qlik Sense y potencialmente Apache ActiveMQ.
Detallada en un aviso publicado el viernes, la investigación de los investigadores reveló una infraestructura sofisticada detrás de las operaciones de Magnet Goblin. Encontraron evidencia del despliegue de cargas útiles como ladrones de credenciales JavaScript WARPWIRE y herramientas de túnel Ligolo.
Lea más sobre ataques similares: Dos Ivanti Zero-Day explotados activamente en la naturaleza
Además, las actividades del actor de amenazas se extendieron más allá de los entornos Linux, y en algunos casos se dirigieron a sistemas Windows utilizando herramientas como ScreenConnect y AnyDesk, lo que sugiere un enfoque amplio y adaptable.
CPR dijo que el análisis de las variantes de NerbianRAT arroja luz sobre las complejidades del funcionamiento del malware. Desde la inicialización hasta el comando y control, el malware exhibe un diseño sofisticado, lo que permite flexibilidad en la ejecución de diversas acciones en las máquinas infectadas. Además, MiniNerbian, una versión simplificada de NerbianRAT, muestra aún más la adaptabilidad y las tácticas sigilosas del actor de amenazas.
“Magnet Goblin, cuyas campañas parecen tener motivaciones financieras, se apresuró a adoptar vulnerabilidades de 1 día para distribuir su malware personalizado para Linux, NerbianRAT y MiniNerbian”, advirtió CPR.
“Esas herramientas han operado desapercibidas, ya que residen principalmente en dispositivos de borde. Esto es parte de una tendencia actual de los actores de amenazas a atacar áreas que hasta ahora han quedado desprotegidas”.
