Επιθέσεις σε συστήματα Citrix NetScaler που συνδέονται με έναν ηθοποιό ransomware
Ένας παράγοντας απειλής που πιστεύεται ότι συνδέεται με την ομάδα hacking FIN8 εκμεταλλεύεται το ελάττωμα απομακρυσμένης εκτέλεσης κώδικα CVE-2023-3519 για να θέσει σε κίνδυνο τα μη επιδιορθωμένα συστήματα Citrix NetScaler σε επιθέσεις σε όλο τον τομέα.
Η Sophos παρακολουθεί αυτήν την καμπάνια από τα μέσα Αυγούστου, αναφέροντας ότι ο παράγοντας απειλών εκτελεί ενέσεις ωφέλιμου φορτίου, χρησιμοποιεί το BlueVPS για δηλώσεις κακόβουλου λογισμικού, αναπτύσσει ασαφή σενάρια
PowerShell
και ρίχνει webshells PHP σε μηχανήματα-θύματα.
Οι ομοιότητες με μια άλλη επίθεση που παρατήρησαν οι αναλυτές της Sophos νωρίτερα το καλοκαίρι οδήγησαν τους αναλυτές να συμπεράνουν ότι οι δύο δραστηριότητες συνδέονται, με τον παράγοντα απειλών να ειδικεύεται σε επιθέσεις ransomware.
Επιθέσεις στο Citrix
Το CVE-2023-3519 είναι ένα ελάττωμα έγχυσης κώδικα κρίσιμης σοβαρότητας (βαθμολογία CVSS: 9,8) στο Citrix NetScaler ADC και στο NetScaler Gateway, που ανακαλύφθηκε ως μηδενική ημέρα με ενεργή εκμετάλλευση στα μέσα Ιουλίου 2023.
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας για το
πρόβλημα
στις 18 Ιουλίου, αλλά υπήρχαν στοιχεία ότι οι εγκληματίες του
κυβερνοχώρο
υ φέρεται να πουλούσαν ένα exploit για το ελάττωμα τουλάχιστον από τις 6 Ιουλίου 2023.
Μέχρι τις 2 Αυγούστου, ο Shadowserver ανέφερε ότι ανακάλυψε 640 webshells σε ίσο αριθμό παραβιασμένων διακομιστών Citrix και δύο εβδομάδες αργότερα, η Fox-IT αύξησε αυτόν τον αριθμό σε 1.952.
Μέχρι τα μέσα Αυγούστου, περισσότερες από 31.000 περιπτώσεις Citrix NetScaler παρέμειναν ευάλωτες στο CVE-2023-3519, περισσότερο από ένα μήνα μετά τη διάθεση της ενημέρωσης ασφαλείας, δίνοντας στους φορείς απειλών πολλές ευκαιρίες για επιθέσεις.
Sophos X-Ops
τώρα αναφέρει
ότι ένας παράγοντας απειλής που παρακολουθεί ως «STAC4663» εκμεταλλεύεται το CVE-2023-3519, το οποίο οι ερευνητές πιστεύουν ότι είναι μέρος της ίδιας εκστρατείας που αναφέρθηκε από το Fox-IT νωρίτερα αυτόν τον μήνα.
Το ωφέλιμο φορτίο που παραδόθηκε στις πρόσφατες επιθέσεις, το οποίο εισάγεται στο “wuauclt.exe” ή το “wmiprvse.exe”, βρίσκεται ακόμη υπό ανάλυση. Ωστόσο, η Sophos πιστεύει ότι είναι μέρος μιας αλυσίδας επιθέσεων ransomware που βασίζεται στο προφίλ του εισβολέα.
Ο Sophos είπε στο BleepingComputer ότι η καμπάνια αξιολογείται με μέτρια εμπιστοσύνη ότι συνδέεται με την ομάδα hacking FIN8, η οποία πρόσφατα εμφανίστηκε να αναπτύσσει το BlackCat/ALPHV ransomware.
Αυτή η υπόθεση και η συσχέτιση με την προηγούμενη καμπάνια του ηθοποιού ransomware βασίζεται στην ανακάλυψη τομέα, το plink, τη φιλοξενία BlueVPS, το ασυνήθιστο σενάριο PowerShell και το PuTTY Secure Copy [pscp].
Τέλος, οι εισβολείς χρησιμοποιούν μια διεύθυνση IP C2 (45.66.248[.]189) για σταδιοποίηση κακόβουλου λογισμικού και μια δεύτερη διεύθυνση IP C2 (85.239.53[.]49) ανταποκρίνεται στο ίδιο λογισμικό C2 όπως και στην προηγούμενη καμπάνια.
Ο Σοφός έχει δημοσιεύσει
μια λίστα με IoC
(δείκτες συμβιβασμού) για αυτήν την καμπάνια στο
GitHub
για να βοηθήσουν τους υπερασπιστές να εντοπίσουν και να σταματήσουν την απειλή.
Εάν δεν έχετε εφαρμόσει τις ενημερώσεις ασφαλείας στις συσκευές
Citrix ADC
και Gateway, ακολουθήστε τις προτεινόμενες ενέργειες στο
ενημερωτικό δελτίο ασφαλείας του πωλητή
.
