Hackers chineses estão explorando duas falhas zero day recentemente divulgadas em dispositivos de VPN Ivanti para entregar um payload baseado em Rust chamado KrustyLoader, que é usado para instalar a ferramenta de simulação de adversários de código aberto Sliver.

As vulnerabilidades de segurança, identificadas como CVE-2023-46805 (pontuação CVSS: 8.2) e CVE-2024-21887 (pontuação CVSS: 9.1), podem ser exploradas em conjunto para alcançar execução de código remoto não autenticada em aparelhos suscetíveis.

Até 26 de janeiro, os patches para as duas falhas foram adiados, embora a empresa de software tenha lançado uma mitigação temporária por meio de um arquivo XML. Após a divulgação pública no início deste mês, as vulnerabilidades passaram a ser amplamente exploradas por outros adversários para instalar mineradores de criptomoeda XMRig, bem como malware baseado em Rust.

A análise do malware Rust, apelidado de KrustyLoader, revelou que ele funciona como um carregador para baixar o Sliver de um servidor remoto e executá-lo no host comprometido. O Sliver, desenvolvido pela empresa de cibersegurança BishopFox, é um framework de pós-exploração multiplataforma baseado em Golang que se tornou uma opção lucrativa para atores de ameaças em comparação com outras alternativas bem conhecidas, como o Cobalt Strike.

Apesar disso, o Cobalt Strike continua sendo a principal ferramenta de segurança ofensiva observada entre a infraestrutura controlada por atacantes em 2023.