FIN8 bilgisayar korsanlığı grubuyla bağlantılı olduğuna inanılan bir tehdit aktörü, alan çapındaki saldırılarda yama yapılmamış Citrix NetScaler sistemlerini tehlikeye atmak için CVE-2023-3519 uzaktan kod yürütme kusurundan yararlanıyor.
Sophos, ağustos ayının ortasından bu yana bu kampanyayı izliyor ve tehdit aktörünün veri yükü enjeksiyonları gerçekleştirdiğini, kötü amaçlı yazılım tespiti için BlueVPS kullandığını, gizlenmiş PowerShell komut dosyalarını dağıttığını ve kurban makinelere PHP web kabukları bıraktığını bildiriyor.
Sophos analistlerinin yazın başlarında gözlemlediği başka bir saldırıyla benzerlikler, analistlerin iki faaliyetin fidye yazılımı saldırılarında uzmanlaşmış tehdit aktörüyle bağlantılı olduğu sonucuna varmasına yol açtı.
Citrix’e yönelik saldırılar
CVE-2023-3519, Citrix NetScaler ADC ve NetScaler Gateway’deki kritik önem derecesine sahip (CVSS puanı: 9,8) bir kod ekleme hatasıdır ve Temmuz 2023’ün ortalarında aktif olarak yararlanılan bir sıfır gün olarak keşfedilmiştir.
Satıcı, soruna yönelik güvenlik güncellemelerini 18 Temmuz’da yayınladı ancak siber suçluların en az 6 Temmuz 2023’ten bu yana kusur için bir istismar sattıklarına dair iddialara dair kanıtlar vardı.
2 Ağustos itibarıyla Shadowserver, güvenliği ihlal edilmiş Citrix sunucularında 640 web kabuğu bulduğunu bildirdi ve iki hafta sonra Fox-IT bu sayıyı 1.952’ye çıkardı.
Ağustos ayının ortasına gelindiğinde, güvenlik güncellemesinin kullanıma sunulmasının üzerinden bir aydan fazla bir süre geçtikten sonra, 31.000’den fazla Citrix NetScaler örneği CVE-2023-3519’a karşı savunmasız kaldı ve bu da tehdit aktörlerine saldırı için birçok fırsat sağladı.
Sophos X-Ops şimdi raporlar ‘STAC4663’ olarak takip ettiği bir tehdit aktörünün CVE-2023-3519’dan yararlandığı ve araştırmacıların bunun Fox-IT’nin bu ayın başlarında bildirdiği kampanyanın bir parçası olduğuna inandıkları belirtildi.
Son saldırılarda iletilen ve “wuauclt.exe” veya “wmiprvse.exe” dosyasına enjekte edilen veri yükü hâlâ analiz ediliyor. Yine de Sophos, bunun saldırganın profiline dayalı bir fidye yazılımı saldırı zincirinin parçası olduğuna inanıyor.
Sophos, BleepingComputer’a, kampanyanın yakın zamanda BlackCat/ALPHV fidye yazılımını dağıttığı görülen FIN8 hack grubuyla bağlantılı olarak orta düzeyde bir güvenle değerlendirildiğini söyledi.
Bu varsayım ve fidye yazılımı aktörünün önceki kampanyasıyla olan korelasyon, alan adı keşfine, plink’e, BlueVPS barındırmaya, olağandışı PowerShell komut dosyasına ve PuTTY Güvenli Kopyasına dayanmaktadır. [pscp].
Son olarak saldırganlar C2 IP adresini (45.66.248) kullanıyor.[.]Kötü amaçlı yazılım hazırlama için 189) ve ikinci bir C2 IP adresi (85.239.53)[.]49) önceki kampanyadakiyle aynı C2 yazılımına yanıt vermek.
Sophos, savunucuların tehdidi tespit etmesine ve durdurmasına yardımcı olmak amacıyla bu kampanya için GitHub’da bir IoC listesi (uzlaşma göstergeleri) yayınladı.
Güvenlik güncellemelerini Citrix ADC ve Gateway cihazlarına uygulamadıysanız satıcının güvenlik bülteninde önerilen eylemleri izleyin.