Magnet Goblin 组织：利用公共服务器在 Windows 和Linux上部署恶意软件

Magnet Goblin组织积极利用公共服务器中的漏洞，在Windows和Linux系统上部署恶意软件。

该组织的目标是1天漏洞，即已发布补丁的公开安全问题，要求攻击者在目标系统上安装更新之前迅速采取行动。

发现Magnet Goblin活动的Check Point分析师指出，该组织希望在发布漏洞利用PoC后立即利用漏洞。目标包括Ivanti Connect Secure、Apache ActiveMQ、ScreenConnect、Qlik Sense和Magento等设备或服务。它们可以使用专门的恶意软件（包括NerbianRAT和MiniNerbian），以及自定义JavaScript恶意软件变体WARPWIRE感染服务器，以窃取凭据。

针对Magento和Ivanti的活动涉及的基础设施分析揭示了针对Linux和Windows的其他工具的使用，包括ScreenConnect程序。还可能与CACTUS勒索软件有关，该勒索软件用于攻击Qlik Sense商业智能平台。

特别关注自2022年以来已知的Linux恶意软件NerbianRAT及其简化版本MiniNerbian。该程序的两个版本都可以收集系统信息、执行命令和控制（C2）服务器命令并提供加密通信。专家指出，MiniNerbian使用HTTP传输数据，并且仅在特定时间段内处于活动状态。

Magnet Goblin使用其工具通过不同的通信方法对受感染的系统提供可持续的控制：MiniNerbian通过HTTP进行通信，NerbianRAT使用原始TCP套接字。

Check Point 表示，在所有 1 天利用数据中识别 Magnet Goblin 攻击等特定威胁具有挑战性。这个问题使得黑客在漏洞被公开后所引发的混乱中无法被发现。为了对抗 1 天漏洞利用，及时修补至关重要。

转自安全客，原文链接：https://www.anquanke.com/post/id/293777