تستهدف حملة برمجيات خبيثة جديدة أجهزة VPN الخاصة بـ Ivanti Connect Secure (ICS)، وذلك باستخدام اثنتين من ثغرات اليوم صفر لإصابتها بحمولة قائمة على Rust تقوم بتنزيل أداة Sliver بعد الاستغلال وتنفيذها.
أخبار سيئة لمستخدمي VPN، اكتشف المتسللون ثغرة أمنية جديدة ويستخدمونها بنشاط لنشر برامجهم الضارة. يسمح عيبان خطيران، تم تحديدهما باسم CVE-2023-46805 وCVE-2024-21887، للمهاجمين بتنفيذ تعليمات برمجية عشوائية على هذه الأجهزة دون مصادقة. وقد تم التعرف عليها على أجهزة ICS VPN، والتي تستخدمها العديد من المؤسسات لتوفير وصول آمن عن بعد إلى شبكاتها.
تم اكتشاف هذه العيوب والإبلاغ عنها من قبل شركة الأمن Volexity، والتي وجدت أيضًا أنه تم استغلالها من قبل مجموعة قرصنة صينية ترعاها الدولة تسمى UTA0178 أو UNC5221. وتستخدم هذه المجموعة هذه العيوب منذ 3 ديسمبر 2023 لتوزيع برامج ضارة تسمى KrustyLoader، ومكتوبة بلغة برمجة Rust.
يمكن لهذه البرامج الضارة السيطرة على جهاز الكمبيوتر أو سرقة بياناتك
KrustyLoader هو برنامج ضار يتصل بخادم بعيد ويقوم بتنزيل برنامج ضار آخر يسمى Sliver، وهو إطار عمل مفتوح المصدر لمرحلة ما بعد الاستغلال تم تطويره بواسطة BishopFox. Sliver هي أداة متعددة الاستخدامات يمكنها تنفيذ إجراءات مختلفة على الأنظمة المخترقة، مثل سرقة البيانات وتنفيذ الأوامر وتنزيل الملفات وما إلى ذلك.
يعد Sliver أيضًا بديلاً شائعًا لأدوات الأمان الهجومية الأخرى، مثل Cobalt Strike وViper وMeterpreter، والتي غالبًا ما يستخدمها مجرمو الإنترنت والمتسللون. وفقًا لموقع Recorded Future، تظل Cobalt Strike الأداة الأكثر استخدامًا من قبل المهاجمين، تليها Viper وMeterpreter. ومع ذلك، فإن Sliver، جنبًا إلى جنب مع Havoc وBrute Ratel وMythic، تكتسب أيضًا شعبية بين الجهات الفاعلة في مجال التهديد.
لم تصدر Ivanti بعد تصحيحات لعيبي VPN، ولكنها قدمت تخفيفًا مؤقتًا من خلال ملف XML يمكن تطبيقه على الأجهزة. كما نصحت الشركة عملائها بمراقبة سجلات VPN الخاصة بهم بحثًا عن أي نشاط مشبوه والإبلاغ عن أي حوادث إلى فريق الأمان الخاص بها.
