▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Magnet Goblin: il gruppo specializzato nello sfruttamento delle falle 1-day

Sfruttando le falle divulgate ma non ancora corrette, Magnet Goblin riesce a infiltrarsi indisturbato nei sistemi esposti.

Tecnologie/Scenari

Magnet Goblin, un gruppo motivato finanziariamente, sfrutta le vulnerabilità 1-day per prendere di mira i server rivolti al pubblico. L’allarme è stato lanciato da Check Point Research, che sottolinea anche la disponibilità di un arsenale diversificato che permette a questo gruppo di colpire sistemi operativi differenti. Gli esperti presentano Magnet Goblin come un nuovo threat actor che è particolarmente agile nello sfruttare le vulnerabilità digitali, soprattutto quelle divulgate ma non ancora corrette.

Fra le falle di cui è certo lo sfruttamento da parte di Magnet Goblin risultano quelle relative alle piattaforme Ivanti Connect Secure VPN, Magento, Qlik Sense e Apache ActiveMQ. La rapida manovra del gruppo per incorporare gli exploit nel proprio arsenale, a volte entro un giorno dalla pubblicazione di un proof of concept, rappresenta una profonda minaccia per le infrastrutture digitali di tutto il mondo.

Le analisi finora svolte hanno rivelato che le attività di Magnet Goblin si rivolgono per lo più contro gli Stati Uniti, all’interno dei quali colpiscono obiettivi diversificati fra cui healthcare, manifacturing ed energy.

Tattiche e tecniche

Lo sfruttamento delle vulnerabilità 1-day garantisce a Magnet Goblin di ottenere l'accesso non autorizzato ai sistemi sensibili prima della divulgazione delle patch. Il toolkit del gruppo include NerbianRAT, un trojan di accesso remoto (RAT) multipiattaforma che consente un controllo completo sui sistemi compromessi, MiniNerbian, una backdoor Linux più piccola che offre una via di infiltrazione più furtiva. Rispondono poi all’appello WARPWIRE, uno stealer di credenziali JavaScript e Ligolo, uno strumento di tunneling open source scritto in linguaggio di programmazione Go. Inoltre, il gruppo utilizza strumenti di monitoraggio e gestione remota come ScreenConnect e AnyDesk, complicando ulteriormente il panorama della sicurezza informatica.


I ricercatori di sicurezza sono finiti sulle tracce di Magnet Goblin monitorando le recenti ondate di sfruttamento di una falla di Ivanti. Hanno identificato una serie di attività che hanno portato al download e alla distribuzione di un file ELF, che si è rivelato essere una versione Linux di NerbianRAT. Questo cluster di attività, descritto anche in un report di Darktrace, è stato caratterizzato dal download di una varietà di payload da una infrastruttura controllata dagli attaccanti.

Dopo l'iniziale sfruttamento dei server a causa delle suddette vulnerabilità senza patch, gli attaccanti hanno distribuito un malware sofisticato che esfiltra le informazioni sensibili dalle vittime.

Mitigazione e risposta

Pare evidente che per fronteggiare minacce come Magnet Goblin sia necessario implementare solide contromisure di sicurezza. In particolare, gli esperti esortano a dare priorità alla gestione delle patch, migliorare il monitoraggio per rilevare i primi segnali di intrusione e promuovere la consapevolezza della sicurezza informatica all’interno dei propri team.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Dic 19
Webinar v-valley : Barracuda: the power of Choice
Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter