.
Há ainda outro grupo de malfeitores por aí sequestrando dispositivos inseguros da Ivanti: uma nova gangue com motivação financeira chamada Magnet Goblin emergiu das sombrias profundezas digitais com um talento especial para explorar rapidamente vulnerabilidades recém-divulgadas antes que os fornecedores emitam uma correção.
A equipe do crime cibernético tem como alvo organizações médicas, de manufatura e do setor de energia dos EUA, de acordo com a Check Point, que disse ter flagrado Magnet Goblin abusando de falhas de segurança no código da Ivanti para invadir redes em janeiro, apenas um dia após uma prova de conceito , ou PoC, a exploração foi tornada pública.
Especificamente, os criminosos parecem ter atingido servidores vulneráveis do Ivanti Connect Secure VPN, comprometendo esses equipamentos e usando esses pontos de apoio para implantar backdoors nos ambientes de TI das vítimas. Certifique-se de ter corrigido ou de ter mitigações em vigor e de ter verificado indicações de comprometimento, se estiver usando equipamento Ivanti para proteger seus itens.
“Conseguimos confirmar menos de 10 organizações nos EUA, mas presumimos que o número real é muito maior”, disse Sergey Shykevich, gerente de inteligência de ameaças da Check Point Research. O registroreferindo-se às vítimas do Magnet Goblin.
“Acreditamos que se trata de um grupo de crimes cibernéticos oportunistas que atualmente não podemos afiliar a uma localização geográfica específica ou a um grupo conhecido”, acrescentou Shykevich. “Este grupo foi capaz de utilizar a exploração da Ivanti com extrema rapidez, apenas um dia após a publicação de um POC”.
Na sexta-feira, a equipe de Shykevich compartilhou sua pesquisa sobre Magnet Goblin. Fomos informados de que a gangue cibernética implantou malware de controle remoto e roubo de dados após invadir organizações por meio de falhas do Ivanti, malware que foi enviado ao VirusTotal já em janeiro de 2022 e também usado em ataques contra o Adobe Magento 2 no mesmo ano.
Este software malicioso incluía o MiniNerbian, um backdoor do Linux usado nesses ataques do Magento 2, bem como uma versão Linux mais recente do NerbianRAT e um ladrão de credenciais de JavaScript chamado WARPWIRE. A tripulação também usa ferramentas legítimas de monitoramento e gerenciamento remoto, como ScreenConnect e AnyDesk, uma vez dentro dos ambientes de TI das vítimas, o que torna suas atividades ilícitas um pouco mais difíceis de detectar.
“Magnet Goblin se distingue por sua rápida adoção de vulnerabilidades recentemente divulgadas, visando principalmente plataformas como Ivanti Connect Secure VPN, Magento, Qlik Sense e possivelmente Apache ActiveMQ”, de acordo com o relatório.
Os criminosos agem rapidamente, de acordo com a loja de segurança, explorando essas chamadas “vulnerabilidades de um dia” em dispositivos de ponta e serviços públicos logo após as explorações de prova de conceito terem sido tornadas públicas, mas antes que os fornecedores tenham enviado patches para feche as brechas de segurança.
Esta estratégia “significa uma ameaça profunda às infraestruturas digitais em todo o mundo”, observou a empresa de segurança da informação.
A Check Point disse que detectou pela primeira vez a gangue criminosa enquanto rastreava as vulnerabilidades do Ivanti Connect Secure.
Embora a Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA, juntamente com analistas de segurança do setor privado da Mandiant e da Volexity, inicialmente vinculassem esses ataques a equipes patrocinadas pelo governo chinês, incluindo o Volt Typhoon, apoiado por Pequim, todos os tipos de cibercriminosos logo entraram na briga. .
E apesar da rápida recuperação, desde quando os bugs foram divulgados nos dispositivos Ivanti até quando Magnet Goblin começou a explorá-los, Shykevich disse que sua equipe de inteligência sobre ameaças não pode definitivamente conectar essa gangue a uma região específica ou grupo criminoso existente.
A Check Point, no entanto, vinculou a infraestrutura do Magnet Goblin às explorações do Qlink Sense relatadas no final de novembro e início de dezembro.
Depois de usar os bugs do Qlink Sense para obter acesso inicial, os pesquisadores de segurança da Arctic Wolf disseram que pelo menos alguns dos malfeitores infectaram as vítimas com o ransomware Cactus. ®
.
