Hacker Cinesi Sfruttano Vulnerabilità Ivanti VPN per Distribuire Malware KrustyLoader | 31 Gennaio 2024
Un’onda di minacce si sta abbattendo sulla sicurezza delle reti, poiché hacker cinesi sfruttano con successo le vulnerabilità zero-day nei dispositivi di rete privata virtuale (VPN) Ivanti Connect Secure (ICS) per diffondere il temibile malware KrustyLoader.
La scoperta di queste vulnerabilità, identificate come CVE-2023-46805 (punteggio CVSS: 8.2) e CVE-2024-21887 (punteggio CVSS: 9.1), rappresenta una seria minaccia alla sicurezza delle reti aziendali.
Queste vulnerabilità possono essere sfruttate in tandem, consentendo l’esecuzione remota di codice non autenticato su dispositivi suscettibili.
La situazione è resa più critica dal ritardo nelle patch, anche se l’azienda software ha rilasciato una mitigazione temporanea attraverso un file XML.
La società di sicurezza Volexity ha portato alla luce queste vulnerabilità, evidenziando il loro sfruttamento come zero-day da parte di un gruppo di minacce cinese noto come UTA0178, secondo il monitoraggio di Mandiant (UNC5221), di proprietà di Google.
Dopo la divulgazione pubblica, le vulnerabilità sono diventate oggetto di sfruttamento diffuso, non solo per distribuire il malware KrustyLoader, ma anche per installare miner di criptovaluta XMRig.
Un’analisi approfondita condotta da Synacktiv sul malware Rust, KrustyLoader, ha rivelato il suo ruolo di loader per scaricare e eseguire il framework di simulazione di minaccia Sliver da un server remoto su host compromessi.
Sliver, sviluppato da BishopFox, è un framework di post-exploitation cross-platform basato su Golang.
Sebbene Sliver rappresenti una scelta redditizia per gli attori minacciosi, altri framework noti come Cobalt Strike, Viper e Meterpreter continuano a dominare il panorama della sicurezza offensiva.
Il report di Recorded Future evidenzia che Cobalt Strike è al vertice, seguito da Viper e Meterpreter, mentre Sliver, Havoc, Brute Ratel (BRc4) e Mythic completano il panorama.
Le organizzazioni sono ora chiamate ad adottare misure di sicurezza rigorose per proteggere le loro reti da queste minacce emergenti e per garantire un ambiente digitale sicuro.