KrustyLoader 

ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ของ Ivanti VPN เพื่อติดตั้งมัลแวร์ KrustyLoader 

By admin News

ช่องโหว่ Zero-day ที่เปิดเผยเมื่อเร็ว ๆ นี้ในอุปกรณ์เครือข่ายส่วนตัวเสมือน (VPN) ของ Ivanti Connect Secure (ICS) ได้ถูกนำไปใช้เพื่อส่งมอบเพย์โหลดแบบ Rust ที่เรียกว่า KrustyLoader ซึ่งใช้ในการวาง 
เครื่องมือจำลองแบบโอเพ่นซอร์ส โดยช่องโหว่ด้านความปลอดภัยนี้ถูกติดตามในรหัส CVE-2023-46805  
(คะแนน CVSS: 8.2) และ CVE-2024-21887 (คะแนน CVSS: 9.1) อาจถูกนำไปใช้ในทางที่ผิดควบคู่กัน  
เพื่อให้บรรลุการเรียกใช้โค้ดจากระยะไกลที่ไม่ได้รับอนุญาตบนอุปกรณ์ที่อ่อนแอ 

ณ วันที่ 26 มกราคม แพตช์สำหรับช่องโหว่ทั้งสองนี้ถูกเลื่อนออกไป แม้ว่าบริษัทซอฟต์แวร์จะเผยแพร่ 
การบรรเทาปัญหาชั่วคราวผ่านไฟล์ XML ก็ตาม Volexity ซึ่งเผยให้เห็นช่องโหว่เป็นครั้งแรก กล่าวว่าช่องโหว่เหล่านี้ถูกทำให้เป็น Zero-day ตั้งแต่วันที่ 3 ธันวาคม พ.ศ. 2566 โดยผู้ไม่ประสงค์ดีระดับรัฐชาติของจีน ที่ติดตามภายใต้ชื่อ UTA0178 Mandiant ที่ Google เป็นเจ้าของได้กำหนดชื่อเล่น UNC5221 ให้กับกลุ่ม หลังจาก 
การเปิดเผยต่อสาธารณะเมื่อต้นเดือน ช่องโหว่ดังกล่าวได้รับการแสวงหาประโยชน์อย่างกว้างขวางจาก 
ผู้ไม่ประสงค์ดีรายอื่น ๆ เพื่อทิ้งเครื่องมือขุดสกุลเงินดิจิตอล XMRig รวมถึงมัลแวร์ที่ใช้ Rust ซึ่งการวิเคราะห์มัลแวร์ Rust ของ Synacktiv ซึ่งมีชื่อรหัสว่า KrustyLoader เปิดเผยว่ามัลแวร์ดังกล่าวทำหน้าที่เป็นตัวโหลด  
เพื่อดาวน์โหลด Sliver จากเซิร์ฟเวอร์ระยะไกล และดำเนินการบนโฮสต์ที่ถูกบุกรุก 

Sliver ซึ่งพัฒนาโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ BishopFox เป็นเฟรมเวิร์กหลังการ 
แสวงหาผลประโยชน์ข้ามแพลตฟอร์มที่ใช้ Golang ซึ่งกลายเป็นตัวเลือกที่ให้ผลกำไรสำหรับผู้ไม่ประสงค์ดี เมื่อเปรียบเทียบกับทางเลือกอื่น ๆ ที่รู้จักกันดี เช่น Cobalt Strike 

Cobalt Strike เป็นเครื่องมือรักษาความปลอดภัยที่น่ารังเกียจอันดับต้น ๆ ที่พบในโครงสร้างพื้นฐานที่ควบคุมโดยผู้ไม่ประสงค์ดีในปี 2023 ตามมาด้วย Viper และ Meterpreter ตามรายงานที่เผยแพร่โดย Recorded Future เมื่อต้นเดือน และอีกสี่เฟรมเวิร์กที่รู้จักกันดี ได้แก่ Sliver, Havoc, Brute Ratel (BRc4) และ Mythic ซึ่งทั้ง Havoc และ Mythic ได้รับความนิยมค่อนข้างมาก แต่ก็ยังพบเห็นได้ในจำนวนที่ต่ำกว่า Cobalt Strike, Meterpreter หรือ Viper 

คำแนะนำ 

  • อัปเดตระบบปฏิบัติการณ์และซอฟต์แวร์เป็นประจำ 
  • ติดตั้งโปรแกรมป้องกันไวรัส 
  • ไม่คลิกข้อความที่แสดงโฆษณาหรือหน้าต่าง pop-up ปลอม บนเว็บไซต์ที่กำลังเยี่ยมชม 
  • หลีกเลี่ยงโปรแกรมละเมิดลิขสิทธิ์ 
  • หลีกเลี่ยงการเปิดอีเมล รวมไปถึงไฟล์แนบที่ต้องสงสัยต่างๆ 

Ref: https://thehackernews.com/2024/01/chinese-hackers-exploiting-critical-vpn.html 

Share