Επιθέσεις σε συστήματα Citrix NetScaler συνδέονται με έναν κακόβουλο παράγοντα που απαιτεί λύτρα.
Ένας κακόβουλος παράγοντας που πιστεύεται ότι συνδέεται με την ομάδα hacking FIN8 εκμεταλλεύεται το ελάττωμα εκτέλεσης απομακρυσμένου κώδικα CVE-2023-3519 για να παραβιάσει unpatched συστήματα Citrix NetScaler σε domain-wide επιθέσεις.
Η Sophos παρακολουθεί αυτήν την εκστρατεία από τα μέσα του Αυγούστου, αναφέροντας ότι ο κακόβουλος παράγοντας πραγματοποιεί payload injections, χρησιμοποιεί το BlueVPS για κακόβουλο λογισμικό, εκτελεί κρυπτογραφημένα PowerShell scripts και αφήνει PHP webshells στις μηχανές των θυμάτων.
Οι ομοιότητες με μια άλλη επίθεση που παρατήρησαν οι αναλυτές της Sophos νωρίτερα το καλοκαίρι οδήγησαν τους αναλυτές να συμπεράνουν ότι οι δύο δραστηριότητες συνδέονται, με τον κακόβουλο παράγοντα να ειδικεύεται σε επιθέσεις ransomware.
Δείτε επίσης: Οι ομάδες ransomware επιταχύνουν τις επιθέσεις τους
Δείτε επίσης: Kaveh Hack: Παίκτες του Genshin Impact χάνουν αντικείμενα για πάντα
Επιθέσεις στο Citrix
Το CVE-2023-3519 είναι ένα ελάττωμα code injection κρίσιμης σοβαρότητας (βαθμολογία CVSS: 9,8) στο Citrix NetScaler ADC και στο NetScaler Gateway, που ανακαλύφθηκε ως zero-day με ενεργή εκμετάλλευση στα μέσα Ιουλίου 2023.
Ο προμηθευτής κυκλοφόρησε ενημερώσεις ασφαλείας για το πρόβλημα στις 18 Ιουλίου, αλλά υπήρχαν αποδείξεις ότι κυβερνοεγκληματίες πιθανόν πωλούσαν ένα exploit για την ευπάθεια από τις 6 Ιουλίου, 2023 τουλάχιστον.
Μέχρι την 2η Αυγούστου, η Shadowserver ανέφερε ότι ανακάλυψε 640 webshells σε ίσο αριθμό παραβιασμένων Citrix server, και δύο εβδομάδες αργότερα, η Fox-IT αύξησε αυτόν τον αριθμό σε 1.952.
Μέχρι τα μέσα του Αυγούστου, περίπου 31.000 Citrix NetScaler instances παρέμειναν ευάλωτα στο CVE-2023-3519, περισσότερο από έναν μήνα μετά τη διάθεση της ενημέρωσης ασφαλείας, προσφέροντας έτσι αφθονία ευκαιριών για επιθέσεις.
Η Sophos X-Ops αναφέρει τώρα ότι ένας κακόβουλος παράγοντας που ανιχνεύεται ως ‘STAC4663’ εκμεταλλεύεται το CVE-2023-3519, που οι ερευνητές πιστεύουν ότι ανήκει στην ίδια επιχείρηση που ανέφερε η Fox-IT νωρίτερα αυτό το μήνα.
Το payload που παραδόθηκε στις πρόσφατες επιθέσεις, το οποίο εισάγεται στο “wuauclt.exe” ή το “wmiprvse.exe”, βρίσκεται ακόμη υπό ανάλυση. Ωστόσο, η Sophos πιστεύει ότι είναι μέρος μιας αλυσίδας επιθέσεων ransomware που βασίζεται στο προφίλ του εισβολέα.
Η εταιρεία Sophos ανέφερε στο BleepingComputer ότι η επιχείρηση αξιολογείται με μέτρια βεβαιότητα ότι συνδέεται με την ομάδα hacking FIN8, η οποία πρόσφατα εντοπίστηκε να χρησιμοποιεί το ransomware BlackCat/ALPHV.
Αυτή η υπόθεση και ο συσχετισμός με την προηγούμενη καμπάνια του χειριστή ransomware βασίζεται στην ανακάλυψη domain, το plink, το BlueVPS hosting, το ασυνήθιστο PowerShell scripting και το PuTTY Secure Copy [pscp].
Τελικά, οι επιτιθέμενοι χρησιμοποιούν μια διεύθυνση IP C2 (45.66.248[.]189) για το malware staging και μια δεύτερη διεύθυνση IP C2 (85.239.53[.]49) που αποκρίνεται στο ίδιο λογισμικό C2 όπως και στην προηγούμενη επίθεση.
Δείτε επίσης: MalDoc in PDF: Απόκρυψη κακόβουλων Word αρχείων σε PDFs
Η εταιρεία Sophos έχει δημοσιεύσει στο GitHub μια λίστα με τα IoCs (δείκτες παραβίασης) για αυτήν την επιθετική εκστρατεία, προκειμένου να βοηθήσει τους defenders να ανιχνεύσουν και να σταματήσουν τον κίνδυνο.
Εάν δεν έχετε εφαρμόσει τις ενημερώσεις ασφαλείας στις συσκευές Citrix ADC και Gateway, ακολουθήστε τις συνιστώμενες ενέργειες στο ανακοινωθέν ασφαλείας του προμηθευτή.
Πηγή πληροφοριών: bleepingcomputer.com
