Un par de fallas de día cero recientemente reveladas en dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) han sido explotadas para entregar una carga útil basada en Rust llamada KrustyLoader que se utiliza para eliminar la herramienta de simulación de adversarios Sliver de código abierto.
Se podría abusar de las vulnerabilidades de seguridad, rastreadas como CVE-2023-46805 (puntuación CVSS: 8,2) y CVE-2024-21887 (puntuación CVSS: 9,1), en conjunto para lograr la ejecución remota de código no autenticado en dispositivos susceptibles.
A partir del 26 de enero parches para los dos defectos se han retrasado, aunque la compañía de software ha lanzado una mitigación temporal a través de un archivo XML.
Volexity, que arrojó luz por primera vez sobre las deficiencias, dijo que han sido utilizadas como armas como días cero desde el 3 de diciembre de 2023 por un actor de amenazas de estado-nación chino al que rastrea con el nombre UTA0178. Mandiant, propiedad de Google, ha asignado el apodo UNC5221 al grupo.
Tras la divulgación pública a principios de este mes, las vulnerabilidades han ser objeto de una amplia explotación por otros adversarios para eliminar los mineros de criptomonedas XMRig, así como el malware basado en Rust.
Synacktiv’s análisis del malware Rust, con nombre en código KrustyLoader, ha revelado que funciona como un cargador para descargar Sliver desde un servidor remoto y ejecutarlo en el host comprometido.
 |
| Crédito de la imagen: futuro grabado |
Sliver, desarrollado por la empresa de ciberseguridad BishopFox, es un marco de post-explotación multiplataforma basado en Golang que ha surgido como una opción lucrativa para los actores de amenazas en comparación con otras alternativas conocidas como Cobalt Strike.
Dicho esto, Cobalt Strike sigue siendo la principal herramienta de seguridad ofensiva observada entre la infraestructura controlada por atacantes en 2023, seguida de Viper y Meterpreter, según un informe publicado por Recorded Future a principios de este mes.
«Tanto Havoc como Mythic también se han vuelto relativamente populares, pero todavía se observan en cantidades mucho menores que Cobalt Strike, Meterpreter o Viper», dijo la compañía. dicho. «Otros cuatro frameworks conocidos son Sliver, Havoc, Brute Ratel (BRc4) y Mythic».