İnternete açık olan yama uygulanmamış Citrix NetScaler sistemleri, fidye yazılımı olduğundan şüphelenilen saldırıda bilinmeyen tehdit aktörleri tarafından hedef alınıyor.
Siber güvenlik şirketi Sophos izleme adı altındaki etkinlik kümesi STAC4663.
Saldırı zincirleri, NetScaler ADC ve Ağ Geçidi sunucularını etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesini kolaylaştırabilecek kritik bir kod yerleştirme güvenlik açığı olan CVE-2023-3519’un kötüye kullanılmasını içerir.
Ağustos 2023’ün ortasında tespit edilen bir izinsiz girişte, güvenlik kusurunun, Windows Update Aracısı (wuauclt.exe) ve Windows Yönetim Araçları Sağlayıcısı gibi meşru yürütülebilir dosyalara yüklerin enjekte edilmesi de dahil olmak üzere, etki alanı çapında bir saldırı gerçekleştirmek için kullanıldığı söyleniyor. Hizmet (wmiprvse.exe). Yükün analizi sürüyor.
Diğer dikkate değer hususlar arasında gizlenmiş PowerShell komut dosyalarının dağıtımı, PHP web kabukları ve kötü amaçlı yazılım hazırlama için BlueVPS adlı Estonya hizmetinin kullanımı yer alıyor.
Sophos, işleyiş tarzının, NCC Group Fox-IT’nin bu ayın başlarında açıkladığı ve yaklaşık 2.000 Citrix NetScaler sisteminin ihlal edildiği bir saldırı kampanyasıyla “yakından” uyumlu olduğunu söyledi.
Saldırıların aynı tekniklerin Citrix güvenlik açığı hariç kullanıldığı daha önceki bir olayla da bağlantılı olduğu söyleniyor. Kampanyayla ilişkili risk göstergelerine (IoC’ler) erişilebilir Burada.
Şirket, X’teki bir dizi gönderide “Bütün bunlar bize bunun fidye yazılımı saldırılarında uzmanlaşmış bilinen bir tehdit aktörünün faaliyeti olduğunu düşündürüyor” dedi.
Citrix NetScaler ADC ve Gateway cihazları kullanıcılarının şunları yapmaları önemle tavsiye edilir: yamaları uygula Potansiyel tehditleri azaltmak için.
Bu gelişme, tehdit aktörlerinin saldırılarını hızla artırdığı ve fidye yazılımının 2023’te yeni zirvelere çıktığı bir dönemde geldi. güvenlik açıklarından faydalanmak Hedef ortamları ihlal etmek için yaygın olarak kullanılan yazılımlarda.
Buna, yeni fidye yazılımı türleri üreten siber suç gruplarında bir artış eşlik ediyor (ör. DoDo, ProtonVe Çöp Pandası) ve ilk erişimi elde ettikten sonra şirketlere daha hızlı saldırıyor, bu da saldırganların verileri çalma ve şifreleme süreçlerini geliştirme konusunda daha iyi hale geldiklerinin bir göstergesi.
Çoğu fidye yazılımı çetesi ikili veya üçlü gasp planlarını takip etmeye devam ederken, bazı grupların şifrelemeden, şifrelemesiz gasp saldırısı olarak adlandırılan daha basit bir hırsızlık ve gasp stratejisine yöneldiği gözlemlendi.