Cybersecurity-Forscher von Check Point haben festgestellt, dass die Hackergruppe Magnet Goblin aktiv „1-day“ Schwachstellen ausnutzt, um Linux-Server anzugreifen. Diese als „1-day“ bekannten Schwachstellen wurden bereits öffentlich gemacht und dafür sind Patches verfügbar, doch die Hacker nutzen die Zeitverzögerung bis zur Patch-Installation aus.
Magnet Goblin, eine Gruppe mit finanziellen Motiven, hat sich auf die Ausnutzung dieser Schwachstellen spezialisiert und setzt benutzerdefinierte Linux-Backdoors ein, um Gewinne zu erzielen. Betroffen sind unter anderem Systeme von Ivanti, Magento, Qlik Sense, Apache ActiveMQ und ConnectWise ScreenConnect.
Die Forscher entdeckten, dass Magnet Goblin nicht nur diverse 1-day Exploits nutzt, sondern auch maßgeschneiderte Malware wie NerbianRAT und MiniNerbian einsetzt. Diese Tools ermöglichen es der Gruppe, unbemerkt auf Zielsystemen zu operieren und sensible Daten zu stehlen oder Systeme zu kompromittieren.
Insbesondere wurden Ivanti Connect Secure VPN Schwachstellen (CVE-2023-46805, CVE-2023-21887) weitreichend ausgenutzt. Darüber hinaus wurden bei Untersuchungen unzugeordnete Angriffe, die ebenfalls auf Magnet Goblin zurückzuführen sind, identifiziert. Diese umfassten den Einsatz von NerbianRAT, einer Linux-Variante dieser RAT (Remote Access Trojan), und weiteren spezifischen Malware-Varianten.
Die Nutzung von legitim erscheinenden Tools für bösartige Zwecke ist eine wachsende Bedrohung, die Unternehmen vor neue Herausforderungen stellt. Die Vielfältigkeit und die schnelle Anpassungsfähigkeit von Gruppen wie Magnet Goblin unterstreichen die Notwendigkeit einer robusten Cyberabwehr und der schnellen Anwendung von Sicherheitspatches.
Unternehmen sind angehalten, ihre Systeme regelmäßig auf Schwachstellen zu überprüfen und Sicherheitsupdates umgehend zu installieren, um sich vor solchen fortschrittlichen Bedrohungen zu schützen.