利用 Ivanti 零時間與精密的 Sliver 工具組相關的 Rust 負載

https://www.infosecurity-magazine.com/news/rust-payloads-ivanti-zero-days/

Synacktiv 的事件應對提供者指出,在被入侵的 Ivanti Connect Secure 裝置上最近發現的 Payloads 可能來自相同的精密威脅行為者。Synacktiv 研究員 Théo Letailleur 的新惡意軟體分析顯示,由 Volexity 發現的 12 個 Rust payloads 與 Ivanti Connect Secure VPN 的兩個 RCE zero-days (CVE-2024-21887 和 CVE-2023-468051)之間有近 100%的程式碼相似性。

KrustyLoader 用於下載和執行用 Golang 編碼的 Sliver 後門。Sliver 是由攻擊性安全供應商 Bishop Fox 創建的後渗透工具包,可讓紅隊在獲取初始入口後保持對被入侵系統的存取權和控制。Sliver 提供各種功能,如監視網路、執行命令、產生會話或加載反射式 DLL。

Letailleur 在恶意软件分析中發現,這 12 個 Payloads 具有相當高的複雜性,會進行特定檢查以確保僅在特定條件下才會執行。這一發現與 Volexity 和 Mandiant 的先前發現相一致,他們都報告稱有一個高度持續威脅的行為者背後涉及了 Ivanti 的預覽利用行為。

Ivanti 已宣佈延遲修補程式的發佈時間到最早 1 月 30 日週。

閱讀更多:CISA 緊急指令要求對 Ivanti Zero-Days 進行處置

via Infosecurity

January 30, 2024 at 11:04PM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *