VPN Ivanti Connect Secure используется для доставки зловреда

VPN Ivanti Connect Secure используется для доставки зловреда. Фото: СС0

Уязвимости CVE-2023-46805 и CVE-2024-21887 имеют степень опасности 8,2 и 9,1 по десятибалльной шкале. Исследователи из Volexity впервые заметили их использование в начале декабря 2023 года.

На данный момент группы хакеров эксплуатируют недостатки, чтобы сначала создать KrustyLoader, программу для перенесения полезной нагрузки, встроенную в Rust. Исследователи из Synacktiv говорят, что цель KrustyLoader — загрузить Sliver с удаленного сервера и запустить его на скомпрометированной конечной точке. Sliver представляет собой кроссплатформенную среду пост-эксплуатации с открытым исходным кодом, созданную на языке Go. Некоторые злоумышленники используют его как альтернативу Cobalt Strike.

Сообщается, что исправление для этих двух уязвимостей еще не доступно, но команда Ivanti выпустила временное решение по устранению этих двух уязвимостей в виде XML-файла.

Помимо Sliver, некоторые хакеры, очевидно, используют упомянутые уязвимости для установки XMRig на уязвимые конечные точки. XMRig — криптоджекер, который «похищает» вычислительную мощность устройства и незаметно добывает криптовалюту Monero для злоумышленников.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Уязвимость Outlook позволила хакерам получить хешированные пароли.
• Выплаты операторам программы-вымогателей упали до рекордно низкого уровня.
• 45 тысяч серверов Jenkins уязвимы к атакам RCE с использованием общедоступных эксплойтов.