Ein Paar vor kurzem bekannt gegebener Zero-Day-Schwachstellen in den Ivanti Connect Secure (ICS) Virtual Private Network (VPN) Geräten wurden ausgenutzt, um einen Rust-basierten Payload namens KrustyLoader zu liefern, der zur Installation des Open-Source Sliver Gegner-Simulations-Werkzeugs verwendet wird.
Die Sicherheitsschwachstellen, verfolgt als CVE-2023-46805 (CVSS-Score: 8.2) und CVE-2024-21887 (CVSS-Score: 9.1), könnten in Kombination genutzt werden, um eine nicht authentifizierte Remote-Codeausführung auf anfälligen Geräten zu ermöglichen.
Stand 26. Januar wurden Patches für die beiden Schwachstellen verzögert, obwohl das Software-Unternehmen eine temporäre Abhilfe durch eine XML-Datei veröffentlicht hat.
Volexity, die zuerst auf die Schwachstellen aufmerksam machten, sagten, sie seien seit dem 3. Dezember 2023 als Zero-Days von einer chinesischen staatlichen Bedrohungsakteur namens UTA0178 ausgenutzt worden, den das Unternehmen unter dem Namen UNC5221 verfolgt.
Nach der öffentlichen Bekanntgabe zu Beginn dieses Monats wurden die Schwachstellen von anderen Angreifern weit verbreitet ausgenutzt, um XMRig-Kryptowährungsminer sowie Rust-basierte Malware zu installieren.
Die Analyse der Rust-Malware, mit dem Codenamen KrustyLoader, von Synacktiv hat ergeben, dass sie als Loader funktioniert, um Sliver von einem Remote-Server herunterzuladen und auf dem kompromittierten Host auszuführen.
Sliver, entwickelt von der Cybersecurity-Firma BishopFox, ist ein plattformübergreifendes Golang-basiertes Post-Exploitation-Framework, das sich im Vergleich zu bekannten Alternativen wie Cobalt Strike als lukrative Option für Bedrohungsakteure etabliert hat.
Dennoch bleibt Cobalt Strike das am häufigsten beobachtete offensivsicherheitsorientierte Werkzeug bei von Angreifern kontrollierter Infrastruktur in 2023, gefolgt von Viper und Meterpreter, laut einem Bericht, der zu Beginn dieses Monats von Recorded Future veröffentlicht wurde.