Check Point Research (CPR) hat die Aktivitäten der jüngst entdeckten Magnet Goblin Group untersucht. Dieser finanziell motivierte Bedrohungsakteur nutze sogenannte „1-Day-Schwachstellen“ – bekannte, aber offene Sicherheitslücken – bereits am ersten Tag nach Bekanntmachung aus, um öffentlich zugängliche Server und Edge-Geräte zu infiltrieren.
CPR, die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd., einem führenden Anbieter einer KI-gestützten, Cloud-basierten Cybersicherheitsplattform, hat die Cyberkriminellen bei der Nutzung eines breiten Arsenals von Malware beobachtet. Wie die meisten Hacker-Gruppen verfolgt Magnet Goblin opportunistische Ziele, doch in diesem Fall hätten die Nachforschungen von CPR ergeben, dass die USA am stärksten im Visier der Gruppe stehen. Bisher hätten die Täter hauptsächlich Ziele aus den Bereichen der Medizin, Fertigung und Energie angegriffen. Demnach setzen sie dabei ein ausgeklügeltes Set von Tools ein, darunter NerbianRAT, ein plattformübergreifender RAT (Remote Access Trojaner) gegen Windows und Linux, und Warpwire, ein Stealer für JavaScript-Anmeldedaten. Diese vielfältige Malware-Suite ermögliche ein breites Spektrum an Cyber-Angriffen, von Datendiebstahl bis hin zu dauerhaftem Zugriff auf geknackte Netzwerke.
Abwehr von Angriffen von Magnet Goblin schwierig
Die Magnet Goblin nutze, so CPR, frisch bekannt gewordene Schwachstellen umgehend aus und ziele dabei insbesondere auf Plattformen wie Ivanti Connect Secure VPN, Magento, Qlik Sense und Apache ActiveMQ. Das schnelle Manövrieren der Gruppe, um Schwachstellen – teils innerhalb eines Tages nach ihrer Bekanntmachung – zu missbrauchen, bedeute eine tiefgreifende Bedrohung für digitale Infrastrukturen weltweit.
Im Mittelpunkt der Strategie von Magnet Goblin stehen nach Angaben von CPR vor allem Edge-Geräte und öffentlich zugängliche Dienste. Auf diese Weise gelinge es ihnen, den Patches einen Schritt voraus zu sein und unbefugten Zugriff auf sensible Systeme zu erlangen. Die Malware-Suite von Magnet Goblin sei ebenso vielfältig wie gefährlich. NerbianRAT, ein plattformübergreifender Remote-Access-Trojaner (RAT), ermögliche eine umfassende Kontrolle über Systeme, während MiniNerbian, eine kleinere Linux-Hintertür, einen heimlicheren Weg der Infiltration biete. Überdies setze die Gruppe Programme zur Fernüberwachung und Fernverwaltung ein, wie ScreenConnect und AnyDesk, was die Abwehr erschwere.
Wettrüsten zwischen Hackern und Security-Experten
Im Auftauchen von Gruppen wie Magnet Goblin sieht CPR eine deutliche Erinnerung an das ständige Wettrüsten zwischen Hackern und IT-Sicherheitskräften. Das unterstreiche zudem den dringenden Bedarf an robusten Abwehrmaßnahmen. Unternehmen müssten der Patch-Verwaltung die Priorität einräumen, um Schwachstellen umgehend zu beheben. Außerdem müssten sie die Überwachung verbessern, um frühe Anzeichen eines Eindringens zu erkennen, und das Bewusstsein für IT-Sicherheit in ihren Teams fördern, mahnen die Sicherheitsexperten. Verteidigungsstrategien, einschließlich des Einsatzes fortschrittlicher Bedrohungserkennungssysteme und regelmäßiger Audits der Sicherheit, seien unerlässlich, um den neuen Taktiken von Bedrohungsakteuren zu begegnen.
Seine eigenen Kunden sieht Check Point gegen die in dieser Meldung beschriebenen Bedrohungen als geschützt an. (ah)
