Um par de falhas zero-day recentemente divulgadas nos dispositivos ICS (Ivanti Connect Secure) de VPN (Rede Privada Virtual) foram exploradas para entregar uma payload baseada em Rust chamada KrustyLoader que é usada para soltar a ferramenta de simulação de adversários de código aberto Sliver.
As vulnerabilidades de segurança, rastreadas como CVE-2023-46805 (pontuação CVSS: 8.2) e CVE-2024-21887 (pontuação CVSS: 9.1), podem ser abusadas em conjunto para alcançar execução remota de código não autenticado em dispositivos suscetíveis.
A partir de 26 de janeiro, os patches para as duas falhas foram adiados, embora a empresa de software tenha lançado uma mitigação temporária através de um arquivo XML.
A Volexity, que primeiro lançou luz sobre as falhas, disse que elas foram usadas como zero-days desde 3 de dezembro de 2023, por um ator de ameaça do estado-nação chinês que ela rastreia com o nome UTA0178.
A Mandiant, de propriedade do Google, atribuiu o apelido de UNC5221 ao grupo.
Após a divulgação pública no início deste mês, as vulnerabilidades foram amplamente exploradas por outros adversários para soltar mineiros de criptomoedas XMRig, bem como malware baseado em Rust.
A análise da Synacktiv do malware Rust, codinome KrustyLoader, revelou que ele funciona como um loader para baixar o Sliver de um servidor remoto e executá-lo no host comprometido.
O Sliver, desenvolvido pela empresa de cibersegurança BishopFox, é um framework pós-exploração multiplataforma baseado em Golang que emergiu como uma opção lucrativa para atores de ameaça em comparação com outras alternativas bem conhecidas como o Cobalt Strike.
Dito isso, o Cobalt Strike continua a ser a principal ferramenta de segurança ofensiva observada entre a infraestrutura controlada por atacantes em 2023, seguida pelo Viper e pelo Meterpreter, de acordo com um relatório publicado pela Recorded Future no início deste mês.
"Tanto o Havoc quanto o Mythic também se tornaram relativamente populares, mas ainda são observados em números muito menores do que o Cobalt Strike, Meterpreter ou Viper", disse a empresa.
"Quatro outras estruturas bem conhecidas são Sliver, Havoc, Brute Ratel (BRc4) e Mythic."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...