Cybersecurity -onderzoekers hebben details bekendgemaakt van een nieuwe malware genaamd MdifyLoader Dat is waargenomen in combinatie met cyberaanvallen die beveiligingsfouten in Ivanti Connect Secure (ICS) apparaten benutten.
Volgens een rapport gepubliceerd door JPCERT/CC vandaag, hebben de dreigingsactoren achter de uitbuiting van CVE-2025-0282 en CVE-2025-22457 in intrusies waargenomen tussen december 2024 en juli 2025 de kwetsbaarheden bewapend om MdifyLoader te laten vallen, die vervolgens wordt gebruikt om Cobalt-staking in het geheugen te lanceren.
CVE-2025-0282 is een kritische beveiligingsfout in ICS die niet-geautoreerde externe code-uitvoering mogelijk maken. Het werd aangepakt door Ivanti begin januari 2025. CVE-2025-22457, gepatcht in april 2025, betreft een stack-gebaseerde bufferoverloop die kan worden benut om willekeurige code uit te voeren.
Hoewel beide kwetsbaarheden in het wild in het wild zijn bewapend als nuldagen, hebben eerdere bevindingen van JPCERT/CC in april aangetoond dat de eerste van de twee kwesties waren misbruikt om malwarefamilies zoals Spawnchimera en DSLogdrat te leveren.
De nieuwste analyse van de aanvallen met ICS-kwetsbaarheden heeft het gebruik van DLL-side-load-technieken opgegraven om MDifyLoader te lanceren die een gecodeerde kobaltstakingsbaken payload omvat. Het baken is geïdentificeerd als versie 4.5, die werd uitgebracht in december 2021.
“MdifyLoader is een lader gemaakt op basis van het open-source project libpeconv,” zei JPCERT/CC-onderzoeker Yuma Masubuchi. “MdifyLoader laadt vervolgens een gecodeerd gegevensbestand, decodeert Cobalt Strike Beacon en voert het uit op geheugen.”
Ook in gebruik is een GO-gebaseerde tool voor externe toegang genaamd Vshell en een ander open-source netwerkscanninghulpprogramma geschreven in GO genaamd FSCAN. Het is vermeldenswaard dat beide programma’s de afgelopen maanden door verschillende Chinese hackgroepen zijn overgenomen.
FSCAN is gebleken dat ze worden uitgevoerd door middel van een lader, die op zijn beurt wordt gelanceerd met behulp van DLL Side-loading. De Rogue DLL-lader is gebaseerd op de open-source tool Fileosremotepe.
“De gebruikte vshell heeft een functie om te controleren of de systeemtaal is ingesteld op Chinees,” zei JPCERT/CC. “De aanvallers slaagden er herhaaldelijk niet in VShell uit te voeren, en er werd bevestigd dat elke keer dat ze een nieuwe versie hadden geïnstalleerd en opnieuw de uitvoering hadden geprobeerd. Dit gedrag suggereert dat de functie voor het controleren van taal, waarschijnlijk bedoeld voor interne testen, tijdens de implementatie mogelijk werd gemaakt.”
Bij het verkrijgen van voet aan de grond in het interne netwerk, zouden de aanvallers brute-force-aanvallen hebben uitgevoerd tegen FTP-, MS-SQL- en SSH-servers en de EternalBlue SMB-exploit (MS17-010) hebben gebruikt in een poging om geloofsbrieven te extraheren en zijdelings over het netwerk te bewegen.
“De aanvallers creëerden nieuwe domeinaccounts en voegden ze toe aan bestaande groepen, waardoor ze toegang konden behouden, zelfs als eerder verworven referenties werden ingetrokken,” zei Masubuchi.
“Deze accounts versmelten met normale bewerkingen, waardoor langetermijntoegang tot het interne netwerk mogelijk is. Bovendien hebben de aanvallers hun malware geregistreerd als een service of een taakplanner om doorzettingsvermogen te behouden, waardoor het zou worden uitgevoerd bij het opstarten van het systeem of op specifieke gebeurtenistriggers.”
