Magnet Goblinという金銭目的の脅威アクターが、1日以内に新たに公開されたセキュリティ脆弱性を利用して、エッジデバイスや公開サービスに侵入し、マルウェアを展開している。このグループは、特に公開サーバーやエッジデバイスを狙い、未修正のIvanti Connect Secure VPN、Magento、Qlik Sense、Apache ActiveMQサーバーを初期感染ベクトルとして利用している。Magnet Goblinは2022年1月以降に活動しているとされる。
成功した侵入の後、Nerbian RATとその簡易版であるMiniNerbianと呼ばれるクロスプラットフォームのリモートアクセストロイの木馬(RAT)が展開される。これらのマルウェアは、コマンドアンドコントロール(C2)サーバーから受け取った任意のコマンドを実行し、結果をバックアップする機能を持つ。Magnet Goblinは、WARPWIRE JavaScriptクレデンシャルスティーラー、GoベースのトンネリングソフトウェアLigolo、およびAnyDeskやScreenConnectなどの正規のリモートデスクトップサービスも使用している。
【ニュース解説】
金銭目的で活動する脅威アクター「Magnet Goblin」が、新たに公開されたセキュリティの脆弱性を迅速に利用して、エッジデバイスや公開サービスに侵入し、マルウェアを展開していることが明らかになりました。このグループは、特に公開サーバーやエッジデバイスを狙い、未修正のIvanti Connect Secure VPN、Magento、Qlik Sense、Apache ActiveMQサーバーを初期感染ベクトルとして利用しています。Magnet Goblinは2022年1月以降に活動しているとされています。
成功した侵入の後、Nerbian RATとその簡易版であるMiniNerbianと呼ばれるクロスプラットフォームのリモートアクセストロイの木馬(RAT)が展開されます。これらのマルウェアは、コマンドアンドコントロール(C2)サーバーから受け取った任意のコマンドを実行し、結果をバックアップする機能を持っています。さらに、Magnet GoblinはWARPWIRE JavaScriptクレデンシャルスティーラー、GoベースのトンネリングソフトウェアLigolo、およびAnyDeskやScreenConnectなどの正規のリモートデスクトップサービスも使用しています。
このような攻撃手法は、セキュリティ対策が追いついていないエッジデバイスや公開サービスを狙うことで、迅速に侵入し、悪意のある活動を展開することが可能になります。特に、新たに公開された脆弱性を利用することで、対策が施される前に攻撃を仕掛けることができるため、被害を受ける可能性が高まります。
このニュースは、企業や組織にとって、セキュリティパッチの迅速な適用、エッジデバイスや公開サービスのセキュリティ対策の強化、そして未知の脅威に対する監視体制の重要性を改めて示しています。また、攻撃者が正規のリモートデスクトップサービスを利用することで、検出を回避しやすくなるという点も、セキュリティ対策における新たな課題を提示しています。
長期的な視点では、このような攻撃手法の進化に対応するためには、セキュリティのベストプラクティスの遵守だけでなく、AIや機械学習を活用した自動化された脅威検出システムの導入が重要になってくるでしょう。また、セキュリティコミュニティ間での情報共有や協力も、迅速な脅威対応には不可欠です。
from Magnet Goblin Hacker Group Leveraging 1-Day Exploits to Deploy Nerbian RAT.
