Deux failles Zero Day récemment révélées dans les appareils de réseau privé virtuel (VPN) Ivanti Connect Secure (ICS) ont été exploitées pour fournir une charge utile basée sur Rust appelée KrustyLoader cela est utilisé pour abandonner l’outil open source de simulation d’adversaire Sliver.
Les vulnérabilités de sécurité, identifiées comme CVE-2023-46805 (score CVSS : 8,2) et CVE-2024-21887 (score CVSS : 9,1), pourraient être exploitées en tandem pour permettre l’exécution de code à distance non authentifié sur des appareils sensibles.
Au 26 janvier, patchs pour les deux failles ont été retardés, bien que l’éditeur de logiciels ait publié une atténuation temporaire via un fichier XML.
Volexity, qui a été le premier à mettre en lumière ces lacunes, a déclaré qu’ils ont été transformés en armes de type Zero Day depuis le 3 décembre 2023 par un acteur menaçant d’État-nation chinois qu’il suit sous le nom d’UTA0178. Mandiant, propriété de Google, a attribué le surnom UNC5221 au groupe.
Suite à la divulgation publique plus tôt ce mois-ci, les vulnérabilités ont faire l’objet d’une large exploitation par d’autres adversaires pour abandonner les mineurs de crypto-monnaie XMRig ainsi que les logiciels malveillants basés sur Rust.
Synacktiv’s analyse du malware Rust, nom de code KrustyLoader, a révélé qu’il fonctionne comme un chargeur pour télécharger Sliver depuis un serveur distant et l’exécuter sur l’hôte compromis.
 |
| Crédit d’image : Avenir enregistré |
Sliver, développé par la société de cybersécurité BishopFox, est un cadre de post-exploitation multiplateforme basé sur Golang qui s’est imposé comme une option lucrative pour les acteurs malveillants par rapport à d’autres alternatives bien connues comme Cobalt Strike.
Cela dit, Cobalt Strike continue d’être le principal outil de sécurité offensif observé parmi les infrastructures contrôlées par les attaquants en 2023, suivi de Viper et Meterpreter, selon un rapport publié par Recorded Future plus tôt ce mois-ci.
« Havoc et Mythic sont également devenus relativement populaires, mais sont toujours observés en nombre bien inférieur à Cobalt Strike, Meterpreter ou Viper », a déclaré la société. dit. « Quatre autres frameworks bien connus sont Sliver, Havoc, Brute Ratel (BRc4) et Mythic. »