Mirai Botnet, Kötü Amaçlı Yük Dağıtımı İçin Ivanti Connect'in Güvenli Kusurlarından Yararlanıyor

Ivanti Connect Secure (ICS) cihazlarında yakın zamanda açıklanan iki güvenlik açığı, Mirai botnet'ini dağıtmak için kullanılıyor

Juniper Threat Labs'ın bulgularına göre bu botnet yükünü sağlamak için CVE-2023-46805 ve CVE-2024-21887 güvenlik açıklarından yararlanıldığını belirtti.

Ağ güvenliği şirketi tarafından gözlemlenen saldırı zincirinde, "/api/v1/license/key-status/;" dosyasına erişim sağlamak için CVE-2023-46805'ten yararlanılıyor. Command injection'a karşı savunmasız olan uç nokta buradadır.

Assetnote'un CVE-2024-21887'ye ilişkin teknik derinlemesine incelemesinde daha önce belirtildiği gibi zafiyet, kötü amaçlı yazılımı dağıtmak için "/api/v1/totp/user-backup-code/" isteği aracılığıyla tetikleniyor.

SonicWall'ın, kripto para miner yüklemek için sahte bir Windows Dosya Gezgini yürütülebilir dosyasının ("explorer.exe") bulunduğunu ortaya çıkarması ile ortaya çıktı. Malware'nin tam dağıtım vektörü şu anda bilinmiyor.

SonicWall, "Yürütme sonrasında, /Windows/Fonts/ dizinine, mining sürecini başlatmak için kötü amaçlı komutlar içeren bir toplu iş dosyası olan ana kripto mining dosyası da dahil olmak üzere kötü amaçlı dosyalar bırakır." dedi.