Magnet Goblin, un gruppo motivato finanziariamente, sfrutta le vulnerabilità 1-day per prendere di mira i server rivolti al pubblico. L’allarme è stato lanciato da Check Point Research, che sottolinea anche la disponibilità di un arsenale diversificato che permette a questo gruppo di colpire sistemi operativi differenti. Gli esperti presentano Magnet Goblin come un nuovo threat actor che è particolarmente agile nello sfruttare le vulnerabilità digitali, soprattutto quelle divulgate ma non ancora corrette.

Fra le falle di cui è certo lo sfruttamento da parte di Magnet Goblin risultano quelle relative alle piattaforme Ivanti Connect Secure VPN, Magento, Qlik Sense e Apache ActiveMQ. La rapida manovra del gruppo per incorporare gli exploit nel proprio arsenale, a volte entro un giorno dalla pubblicazione di un proof of concept, rappresenta una profonda minaccia per le infrastrutture digitali di tutto il mondo.

Le analisi finora svolte hanno rivelato che le attività di Magnet Goblin si rivolgono per lo più contro gli Stati Uniti, all’interno dei quali colpiscono obiettivi diversificati fra cui healthcare, manifacturing ed energy.

Tattiche e tecniche

Lo sfruttamento delle vulnerabilità 1-day garantisce a Magnet Goblin di ottenere l'accesso non autorizzato ai sistemi sensibili prima della divulgazione delle patch. Il toolkit del gruppo include NerbianRAT, un trojan di accesso remoto (RAT) multipiattaforma che consente un controllo completo sui sistemi compromessi, MiniNerbian, una backdoor Linux più piccola che offre una via di infiltrazione più furtiva. Rispondono poi all’appello WARPWIRE, uno stealer di credenziali JavaScript e Ligolo, uno strumento di tunneling open source scritto in linguaggio di programmazione Go. Inoltre, il gruppo utilizza strumenti di monitoraggio e gestione remota come ScreenConnect e AnyDesk, complicando ulteriormente il panorama della sicurezza informatica.

I ricercatori di sicurezza sono finiti sulle tracce di Magnet Goblin monitorando le recenti ondate di sfruttamento di una falla di Ivanti. Hanno identificato una serie di attività che hanno portato al download e alla distribuzione di un file ELF, che si è rivelato essere una versione Linux di NerbianRAT. Questo cluster di attività, descritto anche in un report di Darktrace, è stato caratterizzato dal download di una varietà di payload da una infrastruttura controllata dagli attaccanti.

Dopo l'iniziale sfruttamento dei server a causa delle suddette vulnerabilità senza patch, gli attaccanti hanno distribuito un malware sofisticato che esfiltra le informazioni sensibili dalle vittime.

Mitigazione e risposta

Pare evidente che per fronteggiare minacce come Magnet Goblin sia necessario implementare solide contromisure di sicurezza. In particolare, gli esperti esortano a dare priorità alla gestione delle patch, migliorare il monitoraggio per rilevare i primi segnali di intrusione e promuovere la consapevolezza della sicurezza informatica all’interno dei propri team.