يستغل المتسللون عيوب Ivanti VPN لنشر برامج KrustyLoader الضارة

تم استغلال زوج من عيوب يوم الصفر التي تم الكشف عنها مؤخرًا في أجهزة الشبكة الخاصة الافتراضية (VPN) الخاصة بـ Ivanti Connect Secure (ICS) لتقديم حمولة قائمة على Rust تسمى KrustyLoader والتي تُستخدم لإسقاط أداة محاكاة الخصم Sliver مفتوحة المصدر.

يمكن إساءة استخدام الثغرات الأمنية ، التي تم تتبعها كـ CVE-2023-46805 (درجة CVSS: 8.2) وCVE-2024-21887 (درجة CVSS: 9.1)، جنبًا إلى جنب لتحقيق تنفيذ تعليمات برمجية عن بعد غير مصادق عليها على الأجهزة الحساسة.

اعتبارًا من 26 يناير، تم تأجيل تصحيحات العيبين ، على الرغم من أن شركة البرمجيات أصدرت تخفيفًا مؤقتًا من خلال ملف XML.

قالت شركة Volexity، التي سلطت الضوء لأول مرة على أوجه القصور، إنها قد تم تسليحها كسلاح يوم صفر منذ 3 ديسمبر 2023، من قبل جهة تهديد الدولة القومية الصينية التي تتعقبها تحت اسم UTA0178. قامت شركة Mandiant المملوكة لشركة Google بتعيين لقب UNC5221 للمجموعة.

وبعد الكشف العلني في وقت سابق من هذا الشهر، تعرضت الثغرات الأمنية لاستغلال واسع النطاق من قبل خصوم آخرين لإسقاط عمال مناجم العملة المشفرة XMRig بالإضافة إلى البرامج الضارة المستندة إلى Rust.

كشف تحليل Synacktiv للبرمجيات الخبيثة Rust، التي تحمل الاسم الرمزي KrustyLoader، أنها تعمل كمحمل لتنزيل Sliver من خادم بعيد وتنفيذه على المضيف المخترق.

Sliver ، الذي طورته شركة BishopFox للأمن السيبراني، هو إطار عمل متعدد المنصات قائم على Golang لمرحلة ما بعد الاستغلال وقد ظهر كخيار مربح للجهات الفاعلة في مجال التهديد مقارنة بالبدائل الأخرى المعروفة مثل Cobalt Strike.

ومع ذلك، لا تزال Cobalt Strike هي الأداة الأمنية الهجومية الأولى التي تمت ملاحظتها بين البنية التحتية التي يسيطر عليها المهاجمون في عام 2023، تليها Viper وMeterpreter، وفقًا لتقرير نشرته Recorded Future في وقت سابق من هذا الشهر.

وقالت الشركة: "لقد أصبح كل من Havoc و Mythic أيضًا شائعين نسبيًا ولكن لا يزال يتم ملاحظتهما بأعداد أقل بكثير من Cobalt Strike أو Meterpreter أو Viper" . "أربعة أطر أخرى معروفة هي Sliver وHavoc وBrute Ratel (BRc4) وMythic."