Nel vasto e complesso panorama delle minacce informatiche, è stato recentemente rilevato un nuovo nome di gruppo criminale: Magnet Goblin. Dietro questo enigmatico pseudonimo si cela un gruppo di hacker determinati, mossi da motivazione finanziari e armati di una pericolosa capacità di sfruttare le vulnerabilità dei server Linux.
Indice degli argomenti
Cyber gang specializzata in attacchi contro infrastrutture Linux
Il sistema operativo Linux, ampiamente utilizzato in infrastrutture critiche, hosting web e ambienti cloud, offre lo scenario perfetto per le incursioni di questo gruppo criminale. La sua natura open source permette loro di studiarne il codice e individuare eventuali falle di sicurezza. E le vulnerabilità 1-day, ossia quelle per le quali è già stata rilasciata una patch ma non tutti gli utenti hanno ancora effettuato l’aggiornamento, diventano una preda ambita per gli aggressori.
Recenti scoperte dei ricercatori di sicurezza informatica di Check Point hanno gettato luce su un nuovo capitolo delle attività di Magnet Goblin. Questo gruppo, noto per la sua abilità nel sfruttare le vulnerabilità 1-day, appunto, ha preso di mira i server Linux con una serie di attacchi mirati e sofisticati.
Utilizzando exploit personalizzati e backdoor appositamente progettate, Magnet Goblin ha attaccato diversi servizi e piattaforme, tra cui Ivanti, Magento, Qlik Sense, Apache ActiveMQ e ConnectWise ScreenConnect. Le loro azioni sono mirate e pianificate, con l’obiettivo finale di ottenere guadagni finanziari attraverso attività di hacking.
Una delle tattiche distintive di Magnet Goblin è l’uso di malware personalizzato come NerbianRAT e MiniNerbian, progettati per sistemi Windows e Linux. Questi strumenti vengono distribuiti tramite vulnerabilità 1-day, rendendo vitale per le organizzazioni l’applicazione tempestiva delle patch di sicurezza.
Ma Magnet Goblin non si ferma qui. Il gruppo ha anche sfruttato strumenti come Ligolo per il tunneling e Windows RMM ScreenConnect per i suoi attacchi. Inoltre, è emersa la possibilità di un collegamento con la ransomware gang Cactus, secondo alcuni rapporti pubblici.
Una delle campagne più significative di Magnet Goblin ha coinvolto la compromissione di server Magento, utilizzati per la distribuzione di AnyDesk e altri strumenti. Questo attacco dimostra la natura multifattoriale delle loro operazioni, che vanno oltre il semplice sfruttamento di vulnerabilità.
La capacità di Magnet Goblin di adattarsi e innovare è evidente anche nella loro evoluzione nel tempo. Dalla scoperta della variante NerbianRAT Windows nel 2022, lanciata tramite esche legate alla pandemia di COVID-19, al successivo sviluppo di MiniNerbian, una versione semplificata ma altrettanto pericolosa, il gruppo ha dimostrato una costante ricerca di nuovi modi per penetrare nelle difese digitali.
Sfide per proteggere asset critici da minacce come Magnet Goblin
In un mondo in cui la caccia alle minacce informatiche è diventata una battaglia costante e mutevole, individuare e attribuire le attività specifiche rimane una sfida. Magnet Goblin rappresenta un esempio emblematico di questa realtà, con la loro capacità di operare sotto il radar e di adottare nuove strategie per sfruttare le vulnerabilità esistenti.
Questa tendenza alla caccia silenziosa, motivata dal profitto e concentrata sulle aree precedentemente non protette, pone una seria minaccia per le organizzazioni e le infrastrutture digitali in tutto il mondo, visti gli investimenti che gruppi simili sono disposti a portare avanti nella ricerca delle nuove vulnerabilità.
La battaglia per proteggere questi asset critici non deve passare in secondo piano, proprio perché gruppi come Magnet Goblin rappresentano solo una delle molte sfide che la comunità della sicurezza informatica deve affrontare.
