威胁行为者利用Ivanti VPN漏洞部署KrustyLoader恶意软件

2024年1月初，软件公司Ivanti报告称，威胁行为者正在利用Connect Secure（ICS）和Policy Secure中的两个零日漏洞（CVE-2023-46805、CVE-2024-21887），以在目标网关上远程执行任意命令。

网络安全公司Synacktiv的研究人员发表了一份关于Rust恶意软件KrustyLoader的技术分析报告，该恶意软件由利用上述漏洞的威胁行为者传播。

CVE-2023-46805（CVSS分数8.2）是一个身份验证绕过问题，存在于Ivanti ICS 9.x、22.x和Ivanti Policy Secure的web组件中。远程攻击者可以通过绕过控制检查来触发此漏洞，访问受限制的资源。

第二个漏洞CVE-2024-21887（CVSS分数9.1）是Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure的web组件中的命令注入漏洞。经过身份验证的管理员可以通过发送特制的请求来利用此问题，在设备上执行任意命令。

攻击者可以将这两个漏洞串联起来，向未打补丁的系统发送特制的请求并执行任意命令。

Ivanti发布的一份咨询报告中写道：“如果将CVE-2024-21887与CVE-2023-46805结合使用，利用不需要身份验证，并使威胁行为者能够制作恶意请求并在系统上执行任意命令。”

该公司正在提供缓解措施，并证实它正在开发安全补丁。

Volexity的研究人员观察到威胁行为者在野外积极利用这两个零日漏洞。2023年12月，Volexity调查了一起攻击事件，其中一名攻击者在多个内部和面向外部的Web服务器上放置了webshell。

研究人员还报告称，被追踪为UTA0178（又名UNC5221）的威胁行为者正在积极利用这些漏洞，并正在积极尝试利用设备。

目标遍布全球，包括小型企业和大型组织。目标列表包括多家在各行业运营的财富500强公司，例如：

全球政府和军事部门
国家电信公司
国防承包商
技术公司
银行、金融和会计机构
全球咨询服务
航空航天和工程实体
在漏洞被公开披露后，多名威胁行为者开始利用这些漏洞部署XMRig加密货币矿工和基于Rust的恶意软件。

Synacktiv的研究人员注意到，威胁行为者使用KrustyLoader作为加载器从远程服务器下载基于Golang的Sliver后门并执行它。

“根据我的观察，所有样本都下载了一个Sliver（Golang）后门，尽管是从不同的URL下载的。”Synacktiv发布的报告中写道。“Sliver后门使用HTTP/HTTPS通信与他们的C2服务器进行通信。Sliver 11是一个开源的对手模拟工具，在威胁行为者中越来越受欢迎，因为它提供了一个实用的命令和控制框架。”

Sliver是一个后利用框架，在黑客地下世界中作为Cobalt Strike框架的替代品而声名狼藉。
使用Rust语言开发KrustyLoader的选择在全面了解恶意软件行为方面带来了额外的挑战。

专家们发布了用于检测类似KrustyLoader样本的Yara规则。

“Volexity团队检测到的Rust有效载荷结果非常有趣，它们是作为Sliver下载器执行的，因为它们是在CVE-2024-21887和CVE-2023-46805漏洞被利用后在Ivanti Connect Secure VPN上执行的。我称之为KrustyLoader - 在满足条件时只执行特定的检查。“报告总结说。”事实上，KrustyLoader是用Rust开发的，这给获得其良好概述带来了额外的困难。一个脚本以及一个Yara规则都是公开可用的，以帮助检测和提取指标。“

原文始发于微信公众号（黑猫安全）：威胁行为者利用Ivanti VPN漏洞部署KrustyLoader恶意软件