Пара недавно обнаруженных недостатков нулевого дня в устройствах виртуальной частной сети Ivanti Connect Secure (ICS) были использованы для доставки полезной нагрузки на основе Rust под названием KrustyLoader, которая используется для удаления инструмента моделирования злоумышленников Sliver с открытым исходным кодом.
Уязвимости в системе безопасности, отслеживаемые как CVE-2023-46805 (оценка CVSS: 8.2) и CVE-2024-21887 (оценка CVSS: 9.1), могут использоваться совместно для обеспечения удаленного выполнения кода без проверки подлинности на уязвимых устройствах.
По состоянию на 26 января, исправления для двух недостатков были отложены, хотя компания-разработчик программного обеспечения выпустила временное исправление с помощью XML-файла.
Компания Volexity, которая первой пролила свет на недостатки, заявила, что с 3 декабря 2023 года китайская организация, представляющая угрозу национальному государству, которую она отслеживает под именем UTA0178, использует их в качестве оружия нулевого дня. Компания Mandiant, принадлежащая Google, присвоила группе псевдоним UNC5221.
После публичного раскрытия ранее в этом месяце уязвимости широко использовались другими злоумышленниками для удаления майнеров криптовалюты XMRig, а также вредоносного ПО на основе Rust.
Анализ вредоносного ПО Rust под кодовым названием KrustyLoader, проведенный Synacktiv, показал, что оно функционирует как загрузчик для загрузки Sliver с удаленного сервера и запуска его на скомпрометированном хостинге.
Изображение предоставлено: записанное будущее
Sliver, разработанный компанией по кибербезопасности BishopFox, представляет собой кроссплатформенный фреймворк для последующей эксплуатации на базе Golang, который стал выгодным вариантом для участников угроз по сравнению с другими известными альтернативами, такими как Cobalt Strike.
Тем не менее, согласно отчету, опубликованному Recorded Future ранее в этом месяце, Cobalt Strike по-прежнему остается самым агрессивным инструментом безопасности среди инфраструктуры, контролируемой злоумышленниками, в 2023 году, за ним следуют Viper и Meterpreter.
"И Havoc, и Mythic также стали относительно популярными, но по-прежнему встречаются в гораздо меньшем количестве, чем Cobalt Strike, Meterpreter или Viper", - сказали в компании. "Четырьмя другими хорошо известными фреймворками являются Sliver, Havoc, Brute Ratel (BRc4) и Mythic".
Уязвимости в системе безопасности, отслеживаемые как CVE-2023-46805 (оценка CVSS: 8.2) и CVE-2024-21887 (оценка CVSS: 9.1), могут использоваться совместно для обеспечения удаленного выполнения кода без проверки подлинности на уязвимых устройствах.
По состоянию на 26 января, исправления для двух недостатков были отложены, хотя компания-разработчик программного обеспечения выпустила временное исправление с помощью XML-файла.
Компания Volexity, которая первой пролила свет на недостатки, заявила, что с 3 декабря 2023 года китайская организация, представляющая угрозу национальному государству, которую она отслеживает под именем UTA0178, использует их в качестве оружия нулевого дня. Компания Mandiant, принадлежащая Google, присвоила группе псевдоним UNC5221.
После публичного раскрытия ранее в этом месяце уязвимости широко использовались другими злоумышленниками для удаления майнеров криптовалюты XMRig, а также вредоносного ПО на основе Rust.
Анализ вредоносного ПО Rust под кодовым названием KrustyLoader, проведенный Synacktiv, показал, что оно функционирует как загрузчик для загрузки Sliver с удаленного сервера и запуска его на скомпрометированном хостинге.
Изображение предоставлено: записанное будущее
Sliver, разработанный компанией по кибербезопасности BishopFox, представляет собой кроссплатформенный фреймворк для последующей эксплуатации на базе Golang, который стал выгодным вариантом для участников угроз по сравнению с другими известными альтернативами, такими как Cobalt Strike.
Тем не менее, согласно отчету, опубликованному Recorded Future ранее в этом месяце, Cobalt Strike по-прежнему остается самым агрессивным инструментом безопасности среди инфраструктуры, контролируемой злоумышленниками, в 2023 году, за ним следуют Viper и Meterpreter.
"И Havoc, и Mythic также стали относительно популярными, но по-прежнему встречаются в гораздо меньшем количестве, чем Cobalt Strike, Meterpreter или Viper", - сказали в компании. "Четырьмя другими хорошо известными фреймворками являются Sliver, Havoc, Brute Ratel (BRc4) и Mythic".
