セキュリティ研究者は、Ivanti Connect Secure VPNの2件を含む、1-day脆弱性の悪用に関する傾向を明らかにしました。
CVE-2023-46805およびCVE-2023-21887として特定されたこれらの欠陥は、複数の脅威アクターによって迅速に悪用され、さまざまな悪意ある活動につながりました。これらの悪用を追跡する中で、Check Point Research(CPR)チームは、Magnet Goblinと呼ばれる脅威アクターに起因するとされる一連の活動を確認したと述べています。
このアクターは、1-day脆弱性を体系的に活用していることが観測されており、特にIvanti Connect Secure VPNのようなエッジデバイスを標的にしています。Magnet Goblinは、金銭的利益を目的としてカスタムLinuxマルウェアを使用します。
これらの悪用では、Magento、Qlik Sense、そして潜在的にはApache ActiveMQの脆弱性悪用を含むさまざまな手法を通じて、マルウェアが展開されます。
金曜日に公開されたアドバイザリで詳述された研究者の調査により、Magnet Goblinの活動の背後にある高度なインフラが明らかになりました。研究者は、WARPWIREのJavaScript認証情報窃取ツールやLigoloのトンネリングツールなどのペイロードが展開された証拠を発見しました。
類似の攻撃について詳しく読む:野放しの環境で積極的に悪用されているIvantiの2つのゼロデイ
さらに、この脅威アクターの活動はLinux環境にとどまらず、ScreenConnectやAnyDeskといったツールを用いてWindowsシステムを標的にした事例もあり、広範で適応力の高いアプローチを示唆しています。
CPRは、NerbianRATの亜種の分析により、マルウェアの動作の複雑さが明らかになると述べました。初期化からコマンド&コントロールに至るまで、このマルウェアは高度な設計を示しており、感染したマシン上でさまざまなアクションを実行する柔軟性を可能にしています。さらに、NerbianRATの簡易版であるMiniNerbianは、脅威アクターの適応力とステルス性の高い戦術をいっそう示しています。
「金銭的動機があるとみられるMagnet Goblinは、カスタムLinuxマルウェアであるNerbianRATおよびMiniNerbianを配布するために、1-day脆弱性を迅速に採用してきました」と、CPRは警告しました。
「これらのツールは主にエッジデバイス上に常駐するため、これまで目立たずに活動してきました。これは、これまで保護されないまま放置されてきた領域を脅威アクターが狙うという、継続中の傾向の一部です。」
翻訳元: https://www.infosecurity-magazine.com/news/magnet-goblin-exploits-ivanti-flaws/
