MAGNET GOBLINの活動

ほぼこもセキュリティニュース By Terilogy Worx

MAGNET GOBLINは、金銭を目的とした脅威アクターです。
彼らの作戦は1-day vulnerabilitiesの悪用です。
どういうことなのでしょうか。

  • 公開されて間もない脆弱性を悪用する
    脆弱性が公開されてからすぐにそれを悪用するマルウェアを展開します。
    脆弱性が公開されてから1日後に展開するなどのスピード感です。
  • ターゲットは1つではない
    ターゲットとなってしまっているsoftwareやサービスはいくつもあります。
    たとえば、Ivanti Connect Secure, Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense, Magentoなどです。
    悪用されている脆弱性としては、CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893, CVE-2023-41265, CVE-2023-41266, CVE-2023-48365などです。
  • 想定被害者環境も複数
    マルウェアを感染させる被害者となる環境も複数あります。
    LinuxもWindowsもターゲットとなります。
    NerbianRATと呼ばれるインフォスティーラー型マルウェアが持ち込まれます。
    これはもともとはWindows向けのマルウェアだったのですが、Linux用にコンパイルされたものも観測されています。
    さらに、このNerbianRATの簡易版のMiniNerbianも展開されています。
    機能に差はありますが、いずれもC2の依頼でコマンドを実行しその結果を返すことができる機能を有します。

脆弱性を意識し、その修正の活動をタイムリーに実施しようとする組織は増えてきています。
しかし、そうはいっても、頻繁に適用することは容易なことではありません。
この脅威アクターはここを突いてきています。

脆弱性対策のサイクルをすばやく回すことももちろんですが、ネットワークのセグメンテーション、エンドポイント保護、多要素認証の導入などの多方面での備えが被害を抑えることにつながるでしょう。
対策の実施にも体力が必要です。

参考記事(外部リンク):MAGNET GOBLIN TARGETS PUBLICLY FACING SERVERS USING 1-DAY VULNERABILITIES
research.checkpoint.com/2024/magnet-goblin-targets-publicly-facing-servers-using-1-day-vulnerabilities/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。