Спецпроекты

Безопасность

Киберпреступная группировка Magnet Goblin с помощью уязвимостей «нулевого дня» взламывает сервера под Linux и Windows

Группировка Magnet Goblin эксплуатирует уязвимости «нулевого дня» - то есть, только что обнародованные, и пользуется поднимающейся суматохой для установки RAT-троянцев в системы Windows и Linux.

Первый день опасный самый

Финансово-мотивированная группировка, получившая условное название Magnet Goblin (магнитный гоблин) использует целый арсенал свежераскрытых уязвимостей для взлома серверов, доступных для соединений извне; на атакованные машины устанавливаются кастомные вредоносы под Windows и Linux.

Группировка активно отслеживает информацию о новых уязвимостях, причём, как правило, речь идёт о публикациях самих вендоров. Поставщики продуктов, в которых обнаружились уязвимости, в подавляющем большинстве случаев публикуют сведения о них одновременно с выпуском патчей. Однако между выходом обновлений и их установкой на конечные устройства клиентов нередко проходит какое-то время. Этот временной промежуток обеспечивает хакеров «окном возможностей».

«Это, на самом деле, самый опасный период, особенно если уязвимости являются критическими и затрагивают популярные разработки», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, в тот промежуток времени, который проходит между выпуском патчей и их установкой, хакеры имеют возможность произвести реверсную разработку самих обновлений, выяснить таким образом, какая проблема устраняется и как её эксплуатировать, создать эксплойт и начать атаки.

Киберпреступная группировка Magnet Goblin используют «зиродеи» для установки вредоносов на Windows и Linux

Члены «магнитного гоблина», впрочем, отслеживают экспериментальные эксплойты (Proof-of-Concept, PoC), которые специалисты по информационной безопасности часто разрабатывают вскоре после выхода информации о новых уязвимостях.

Как отмечают в компании Check Point Security, Magnet Goblin нередко начинает атаки на уязвимости уже на следующий день после выхода пробных эксплойтов. То есть, по-видимому, они занимаются переработкой чужих пробных эксплойтов в практические.

Известные уязвимости

Известен целый ряд свежих или сравнительно свежих уязвимостей, которыми Magnet Goblin пользуется особенно активно. Они касаются Ivanti Connect Secure, Magento, Apache ActiveMQ, ConnectWise ScreenConnect и Qlik Sense.

Конечной целью «Гоблина» является установка специализированных, самописных вредоносов, в частности, NerbianRAT и MiniNerbian, а также переработанной разновидности Warpwire, инфостилера, написанного на JavaScript.

NerbianRAT под Windows был впервые перехвачен ещё в 2022 г., но сейчас, как установили в Check Point, объявился вариант и под Linux. Он отличается неряшливым исполнением, однако вполне эффективен. По данным экспертов Check Point, Linux-вариант тоже находится в ротации с 2022 г.

При первом запуске вредонос собирает данные о системе, такие как время, наименование машины и имя пользователя, затем устанавливает соединение с контрольным сервером (по предзаданному IP-адресу), создает рабочий каталог и загружает ключ шифрования RSA для дальнейших коммуникаций с операторами или контрольным сервером.

После этого NerbianRAT загружает свои «рабочие» настройки, которые определяют время его срабатывания, коммуникаций с сервером и другие параметры.

Контрольный сервер может направлять троянцу ряд команд для локального выполнения или остановки любых действий, а также перенастройки времени работы.

MiniNerbian - это упрощенная версия первого троянца, но тем не менее вполне функциональная. Вероятно, операторы Magnet Goblin используют её в качестве резерва.

В публикации Check Point говорится, что в первые дни после выхода информации об очередной уязвимости набирается огромный объём данных о попытках эксплуатировать свежевыявленный «баг». Операторы Magnet Goblin также пользуются этим обстоятельством: в начинающемся хаосе обнаружить их атаки оказывается довольно проблематично, так что они буквально прячутся на самом видном месте.

Единственной гарантией защиты является максимально оперативная установка патчей. Однако крайне уместны и другие штатные меры: сегментация сети, защита эндпойнтов и многофакторная аутентификация - всё это снижает риски и шансы злоумышленников преуспеть.

Роман Георгиев

Короткая ссылка