據事件響應提供商 Synacktiv 稱，最近在受感染的 Ivanti Connect Secure 設備上發現的有效負載可能來自同一個復雜的黑客攻擊。

Synacktiv 研究員 Théo Letailleur 在一項新的惡意軟件分析報告（
https://www.synacktiv.com/publications/krustyloader-rust-malware-linked-to-ivanti-connectsecure-compromises）中顯示，Volexity 在調查兩個 Ivanti Connect Secure VPN 遠程代碼執行 (RCE) 零日漏洞（CVE-2024-21887 和 CVE-2023-468051）時發現了 12 個 Rust 有效負載（報告鏈接：
https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/）有幾乎 100% 的代碼相似度。

KrustyLoader 執行 Sliver 後門，一種 Cobalt Strike 替代品

研究人員將這串有效負載命名為“KrustyLoader”，其主要目的是下載並執行用 Golang 編碼的 Sliver 後門。

Sliver 是由進攻性安全提供商 Bishop Fox 創建的紅隊利用工具包，允許紅隊在獲得初始進入權限後保持對受感染系統的訪問和控制。它提供各種功能，例如監視網絡、執行命令、生成會話或加載反射 DLL。

在執法行動試圖關閉另一個攻擊性工具包 Cobalt Strike 的“破解”版本之後，Sliver 成為 2023 年下半年網絡犯罪分子的熱門選擇。

ConnectSecure 漏洞利用顯示了 APT 級別的復雜性

Letailleur在他的惡意軟件分析（
https://www.synacktiv.com/publications/krustyloader-rust-malware-linked-to-ivanti-connectsecure-compromises）中發現，這 12 個有效負載非常復雜——它們執行特定的檢查，以便僅在滿足條件時運行。

這一發現與 Volexity 和 Mandiant 之前的發現一致，後者均報告稱，​高級持續威脅 (APT) 攻擊者是一些 Ivanti 零日攻擊的幕後黑手。

Volexity將其歸因於一個名為 UTA0178 的某國背景黑客組織。 Mandiant 將其歸因於其追蹤的一個名為 UNC5221 的活動集群。

美國聯邦官員還表示，這些襲擊與 2023 年中期與Volt Typhoon（伏特臺風）襲擊有一些相似之處。

Ivanti 補丁延遲

Ivanti 一直在與 Mandiant 合作減輕威脅活動，迄今為止，該活動已導致 2100 多個系統受到損害。

雖然補丁最初計劃在 1 月 22 日那一周發佈，但 Ivanti在 1 月 26 日宣佈發佈最早將推遲到 1 月 30 日那一周（
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways）。

在撰寫本文時尚沒有可用的補丁。

參考鏈接：
https://www.infosecurity-magazine.com/news/rust-payloads-ivanti-zero-days/