Fidye yazılımı saldırılarında uzmanlaşmış bilinen bir tehdit aktörünün, kurumsal ağlarda ilk dayanak noktası olarak hizmet vermek üzere internete yönelik yama yapılmamış Citrix NetScaler sistemlerini hedef alan yakın tarihli bir kampanyanın arkasında olduğuna inanılıyor.
Sophos araştırmacıları, “Verilerimiz, CVE-2023-3519 kullanan saldırılar ile aynı sayıda TTP’yi kullanan önceki saldırılar arasında güçlü bir benzerlik olduğunu gösteriyor” dedi. Paylaşıldı.
Citrix sistemleri saldırı altında
Temmuz 2023’ün ortalarında, sıfır gün uzaktan kod yürütme (RCE) güvenlik açığı (CVE-2023-3519) yaygın olarak istismar edilmeye başlandı. Citrix, 18 Temmuz’da bunun için düzeltmeler yayınladı ve müşterilerini kurulumlarına yama yapıp güvenlik ihlali göstergelerini kontrol etmeye çağırdı.
Daha sonra, hataya yönelik istismarların ilk saldırılardan bir süre önce karanlık ağda satın alınabildiği keşfedildi.
Bu ayın başlarında Fox-IT, CVE-2023-3519 yamasına rağmen kurulu web kabuklarının tehlikeye girdiği 1.200’den fazla NetScaler cihazının bulunduğunu açıkladı.
Saldırı ilişkilendirmesi
Sophos araştırmacıları Ağustos ortasından bu yana bir saldırı kampanyasını izliyor ve saldırganların yama yapılmamış Citrix NetScaler sistemlerine saldırılar gerçekleştirmek için CVE-2023-3519’dan yararlandığını keşfetti.
Daha sonraki aşamalarda, saldırganlar yük enjeksiyonlarını dağıttı, kötü amaçlı yazılım hazırlığı için BlueVPS ASN 62005’i kullandı, PowerShell komut dosyalarını oldukça karmaşık hale getirdi ve kurban makinelerine rastgele adlandırılmış PHP web kabukları bıraktı.
“Citrix’in dahil olduğunu gördüğümüz saldırının enjekte edilen yükü hâlâ analiz aşamasında. Ancak yazın başlarında bu vakaya büyük benzerlik gösteren ikinci bir vakada faaliyet gördük” dedi. kayıt edilmiş.
“Citrix güvenlik açığını içermiyordu ancak aynı TTP’lerden bazılarını kullanıyordu (etki alanı keşfi, plink, BlueVPS barındırma, olağandışı PowerShell komut dosyası oluşturma, PuTTY Secure Copy kullanımı) [pscp]) çok benzer şekillerde, ikinci bir C2 IP adresiyle (85.239.53)[.]49) aynı C2 yazılımına yanıt veriyor.”
Bütün bunlar, faaliyetlerin fidye yazılımı saldırılarında uzmanlaşmış aynı tehdit aktörü tarafından yürütüldüğüne inanmalarına yol açtı.
Ekip, GitHub’da güvenlik ihlali göstergelerini (IoC’ler) yayınladı ve Citrix NetScaler altyapısına sahip herkesi güvenlik ihlali belirtileri açısından kontrol etmeye ve (henüz yapmamışlarsa) güvenlik açığını düzeltmeye çağırıyor.
“Ayrıca savunuculara, NetScaler saldırılarında görülen diğer IoC’lerin yeni güvenlik açığının duyurulmasından önce ortaya çıkıp çıkmadığını görmek için verilerini, özellikle de Temmuz ortasından önceki verileri incelemelerini tavsiye ediyoruz” diye eklediler.