Ivanti Connect Secure (ICS)のVPNデバイスにおける2つのゼロデイ脆弱性が、中国の国家支援ハッカーグループによって悪用され、Rustベースのペイロード「KrustyLoader」を配布するために使用されていることが明らかになりました。このペイロードは、オープンソースの敵対シミュレーションツール「Sliver」をダウンロードし実行する機能を持っています。脆弱性はCVE-2023-46805(CVSSスコア:8.2)とCVE-2024-21887(CVSSスコア:9.1)として追跡され、未認証のリモートコード実行を可能にします。これらの脆弱性は2023年12月3日からUTA0178(Google所有のMandiantによってUNC5221とも呼ばれる)と追跡される中国の脅威アクターによってゼロデイとして悪用されていました。
Ivantiはこれらの脆弱性に対するパッチのリリースが遅れているものの、一時的な緩和策をXMLファイルを通じて提供しています。これらの脆弱性の公開後、他の攻撃者によっても広く悪用され、XMRig暗号通貨マイナーや他のRustベースのマルウェアを配布するために使用されています。KrustyLoaderは、リモートサーバーからSliverをダウンロードし、侵害されたホスト上で実行するローダーとして機能します。Sliverは、BishopFoxによって開発されたGolangベースのクロスプラットフォームの後期搾取フレームワークで、Cobalt Strikeなどの他の有名な代替品と比較して、脅威アクターにとって魅力的な選択肢として登場しています。それにもかかわらず、Cobalt Strikeは2023年に攻撃者が制御するインフラストラクチャで最も多く観察された攻撃セキュリティツールであり続けています。
【ニュース解説】
Ivanti Connect Secure (ICS)のVPNデバイスにおける2つのゼロデイ脆弱性が、中国の国家支援ハッカーグループによって悪用されていることが発覚しました。これらの脆弱性を利用して、Rustベースのペイロード「KrustyLoader」が配布され、このペイロードはさらにオープンソースの敵対シミュレーションツール「Sliver」をダウンロードし実行する機能を持っています。この事態は、セキュリティ業界における新たな脅威の形態として注目されています。
この攻撃は、未認証のリモートコード実行を可能にする2つの脆弱性、CVE-2023-46805とCVE-2024-21887を利用しています。これらの脆弱性は、攻撃者が遠隔地からシステムに不正アクセスし、任意のコードを実行できるようにするものです。Ivantiはパッチのリリースが遅れているものの、一時的な緩和策を提供していますが、この問題の深刻さは依然として高いままです。
KrustyLoaderを介して配布されるSliverツールは、攻撃者が侵害したシステム上で後期搾取活動を行うためのフレームワークを提供します。これにより、攻撃者はシステムの制御を強化し、さらに深刻な攻撃を仕掛けることが可能になります。Sliverは、その多機能性とクロスプラットフォーム対応により、Cobalt Strikeなどの既存のツールに代わる魅力的な選択肢となっています。
この攻撃の発覚は、VPNデバイスやその他のセキュリティ製品に存在する脆弱性が、国家支援ハッカーグループによって積極的に悪用されている現状を浮き彫りにしています。このような攻撃は、企業や組織にとって重大なセキュリティリスクをもたらし、機密情報の漏洩やシステムの不正利用など、深刻な影響を引き起こす可能性があります。
この事態は、セキュリティ対策の重要性を改めて強調しています。特に、ソフトウェアやデバイスの脆弱性に対する迅速な対応、定期的なセキュリティアップデートの適用、不正アクセスの検知と対応能力の向上が求められます。また、攻撃手法の進化に対応するため、セキュリティ研究者や企業は最新の脅威情報の共有と、防御技術の継続的な改善に努める必要があります。
長期的な視点では、このような攻撃の増加は、セキュリティ技術の進化だけでなく、国際的なサイバーセキュリティ協力の強化を促すことにもつながります。国家レベルでの攻撃が増加する中、国際社会が情報共有や協力体制を強化することが、グローバルなサイバーセキュリティ環境の向上に寄与するでしょう。
from Chinese Hackers Exploiting VPN Flaws to Deploy KrustyLoader Malware.
