Un groupe de piratage motivé financièrement nommé Magnet Goblin utilise diverses vulnérabilités d’un jour pour violer des serveurs publics et déployer des logiciels malveillants personnalisés sur les systèmes Windows et Linux.
les failles d’un jour font référence à des vulnérabilités divulguées publiquement pour lesquelles un correctif a été publié. Les auteurs de menaces qui cherchent à exploiter ces failles doivent le faire rapidement avant qu’une cible puisse appliquer des mises à jour de sécurité.
Bien que les exploits ne soient généralement pas mis à disposition immédiatement après la divulgation d’une faille, certaines vulnérabilités sont triviales pour comprendre comment en tirer parti. De plus, la rétro-ingénierie du correctif peut révéler le problème sous-jacent et comment l’exploiter.
Les analystes de Check Point qui ont identifié Magnet Goblin rapportent que ces acteurs de la menace exploitent rapidement les vulnérabilités nouvellement divulguées, exploitant dans certains cas les failles un jour après la publication d’un exploit PoC.
Certains des appareils ou services ciblés par les pirates sont Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893., Apache ActiveMQ, Connexion écran ConnectWise, Qlik Sense (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) et Magento (CVE-2022-24086).
Magnet Goblin exploite les failles pour infecter les serveurs avec des logiciels malveillants personnalisés, en particulier NerbianRAT et MiniNerbian, ainsi qu’une variante personnalisée du voleur JavaScript WARPWIRE.
Malware Linux personnalisé
NerbianRAT pour Windows est connu depuis 2022, mais CheckPoint rapporte maintenant qu’une variante Linux mal compilée mais efficace utilisée par Magnet Goblin est en circulation depuis mai 2022.
Lors du premier lancement, le logiciel malveillant effectue des actions préliminaires, notamment la collecte d’informations système telles que l’heure, le nom d’utilisateur et le nom de la machine, la génération d’un identifiant de bot, la définition d’une adresse IP codée en dur comme hôte principal et secondaire, la définition du répertoire de travail et le chargement d’une clé RSA publique pour chiffrer la communication réseau (AES).
Après cela, NerbianRAT charge sa configuration, qui détermine les temps d’activité( temps de travail), les intervalles de temps pour communiquer avec le serveur de commande et de contrôle (C2) et d’autres paramètres.
Le C2 peut envoyer l’une des actions suivantes au logiciel malveillant pour exécution sur le système infecté:
- Demander plus d’actions
- Exécuter une commande Linux dans un nouveau thread
- Sendcommandresult et nettoyez le fichier; arrêtez toutes les commandes en cours d’exécution
- Exécutez immédiatement une commande Linux
- Ne rien faire
- Modifier l’intervalle de connexion
- Ajustez et enregistrez les paramètres de temps de travail
- Renvoie les horaires d’inactivité, la configuration ou les résultats des commandes
- Mettre à jour une variable de configuration spécifique
- Actualiser le tampon de commandes pour les commandes d’exécution C2
Le MiniNerbian est une version simplifiée du NerbianRAT, qui est principalement utilisé pour l’exécution de commandes et prend en charge les actions suivantes:
- Exécutez la commande de C2 et renvoyez les résultats
- Mettre à jour le calendrier des activités (journée complète ou heures spécifiques)
- Mettre à jour la configuration
MiniNerbian communique avec le C2 via HTTP, ce qui le différencie du NerbianRAT plus complexe, qui utilise des sockets TCP bruts pour la communication.
Peut-être que Magnet Goblin l’utilise pour la redondance ou comme porte dérobée plus furtive dans certains cas.
Check Point affirme qu’il est difficile d’identifier des menaces spécifiques telles que les attaques de Magnet Goblin parmi le volume de données d’exploitation d’un jour, ce qui permet à ces groupes de se cacher à la vue de tous dans le chaos qui suit la divulgation des failles.
La mise à jour rapide des correctifs est essentielle pour vaincre l’exploitation en 1 jour, tandis que des mesures supplémentaires telles que la segmentation du réseau, la protection des terminaux et l’authentification multifacteur peuvent aider à atténuer l’impact des violations potentielles.