İnternete açık olan yama uygulanmamış Citrix NetScaler sistemleri, fidye yazılımı olduğundan şüphelenilen saldırıda bilinmeyen tehdit aktörleri tarafından hedef alınıyor.
Siber güvenlik şirketi Sophos izleme adı altındaki etkinlik kümesi STAC4663.
Saldırı zincirleri, NetScaler ADC ve Ağ Geçidi sunucularını etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesini kolaylaştırabilecek kritik bir kod yerleştirme güvenlik açığı olan CVE-2023-3519’un kötüye kullanılmasını içerir.
Ağustos 2023’ün ortasında tespit edilen bir izinsiz girişte, güvenlik kusurunun, Windows Update Aracısı (wuauclt.exe) ve Windows Yönetim Araçları Sağlayıcısı gibi meşru yürütülebilir dosyalara yüklerin enjekte edilmesi de dahil olmak üzere, etki alanı çapında bir saldırı gerçekleştirmek için kullanıldığı söyleniyor. Hizmet (wmiprvse.exe). Yükün analizi sürüyor.
Diğer dikkate değer hususlar arasında gizlenmiş PowerShell komut dosyalarının dağıtımı, PHP web kabukları ve kötü amaçlı yazılım hazırlama için BlueVPS adlı Estonya hizmetinin kullanımı yer alıyor.
Sophos, işleyiş biçiminin, NCC Group Fox-IT’nin bu ayın başında açıkladığı ve yaklaşık 2.000 Citrix NetScaler sisteminin ihlal edildiği saldırı kampanyasıyla “yakından” uyumlu olduğunu söyledi.
Saldırıların aynı tekniklerin Citrix güvenlik açığı hariç kullanıldığı daha önceki bir olayla da bağlantılı olduğu söyleniyor. Kampanyayla ilişkili risk göstergelerine (IoC’ler) buradan erişilebilir.
Şirket, X’teki bir dizi gönderide “Bütün bunlar bize bunun fidye yazılımı saldırılarında uzmanlaşmış bilinen bir tehdit aktörünün faaliyeti olduğunu düşündürüyor” dedi.
Citrix NetScaler ADC ve Gateway cihazları kullanıcılarının potansiyel tehditleri azaltmak için yamaları uygulamaları önemle tavsiye edilir.
Bu gelişme, tehdit aktörlerinin hedef ortamları ihlal etmek için yaygın olarak kullanılan yazılımlardaki güvenlik açıklarından yararlanarak saldırılarını hızla artırdığı, fidye yazılımının 2023’te yeni zirvelere doğru ilerlediği bir dönemde gerçekleşti.
Buna, yeni fidye yazılımı türlerini (örn. DoDo, Proton ve Trash Panda) üreten siber suç gruplarında bir artış eşlik ediyor ve ilk erişimi elde ettikten sonra şirketlere daha hızlı saldırıyor; bu da saldırganların bu konuda daha iyi durumda olduğunun bir göstergesi. verileri çalma ve şifreleme süreçlerini geliştiriyorlar.
Çoğu fidye yazılımı çetesi ikili veya üçlü gasp planlarını takip etmeye devam ederken, bazı grupların şifrelemeden, şifrelemesiz gasp saldırısı olarak adlandırılan daha basit bir hırsızlık ve gasp stratejisine yöneldiği gözlemlendi.