MAGNET GOBLINの活動
MAGNET GOBLINは、金銭を目的とした脅威アクターです。
彼らの作戦は1-day vulnerabilitiesの悪用です。
どういうことなのでしょうか。
- 公開されて間もない脆弱性を悪用する
脆弱性が公開されてからすぐにそれを悪用するマルウェアを展開します。
脆弱性が公開されてから1日後に展開するなどのスピード感です。 - ターゲットは1つではない
ターゲットとなってしまっているsoftwareやサービスはいくつもあります。
たとえば、Ivanti Connect Secure, Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense, Magentoなどです。
悪用されている脆弱性としては、CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893, CVE-2023-41265, CVE-2023-41266, CVE-2023-48365などです。 - 想定被害者環境も複数
マルウェアを感染させる被害者となる環境も複数あります。
LinuxもWindowsもターゲットとなります。
NerbianRATと呼ばれるインフォスティーラー型マルウェアが持ち込まれます。
これはもともとはWindows向けのマルウェアだったのですが、Linux用にコンパイルされたものも観測されています。
さらに、このNerbianRATの簡易版のMiniNerbianも展開されています。
機能に差はありますが、いずれもC2の依頼でコマンドを実行しその結果を返すことができる機能を有します。
脆弱性を意識し、その修正の活動をタイムリーに実施しようとする組織は増えてきています。
しかし、そうはいっても、頻繁に適用することは容易なことではありません。
この脅威アクターはここを突いてきています。
脆弱性対策のサイクルをすばやく回すことももちろんですが、ネットワークのセグメンテーション、エンドポイント保護、多要素認証の導入などの多方面での備えが被害を抑えることにつながるでしょう。
対策の実施にも体力が必要です。
参考記事(外部リンク):MAGNET GOBLIN TARGETS PUBLICLY FACING SERVERS USING 1-DAY VULNERABILITIES
research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities/
