Les systèmes Citrix NetScaler non corrigés exposés à Internet sont la cible d’acteurs malveillants inconnus dans le cadre de ce qui est soupçonné d’être une attaque de ransomware.
La société de cybersécurité Sophos est suivi le cluster d’activités sous le nom STAC4663.
Les chaînes d’attaque impliquent l’exploitation de CVE-2023-3519, une vulnérabilité critique d’injection de code affectant les serveurs NetScaler ADC et Gateway qui pourrait faciliter l’exécution de code à distance non authentifié.
Lors d’une intrusion détectée à la mi-août 2023, la faille de sécurité aurait été utilisée pour mener une attaque à l’échelle du domaine, notamment en injectant des charges utiles dans des exécutables légitimes tels que l’agent Windows Update (wuauclt.exe) et le fournisseur d’instrumentation de gestion Windows. Service (wmiprvse.exe). Une analyse de la charge utile est en cours.
D’autres aspects notables incluent la distribution de scripts PowerShell obscurcis, de shells Web PHP et l’utilisation d’un service estonien appelé BlueVPS pour la préparation des logiciels malveillants.
Sophos a déclaré que le modus operandi s’aligne « étroitement » sur celui d’une campagne d’attaque révélée plus tôt ce mois-ci par NCC Group Fox-IT, au cours de laquelle près de 2 000 systèmes Citrix NetScaler ont été piratés.
Les attaques seraient également liées à un incident antérieur utilisant les mêmes techniques, sans la vulnérabilité Citrix. Les indicateurs de compromission (IoC) associés à la campagne sont accessibles ici.
« Tout cela nous amène à dire qu’il est probable qu’il s’agisse d’une activité d’un acteur malveillant connu, spécialisé dans les attaques de ransomwares », a déclaré la société dans une série de publications sur X.
Il est fortement recommandé aux utilisateurs des appliances Citrix NetScaler ADC et Gateway de appliquer les patchs pour atténuer les menaces potentielles.
Cette évolution intervient alors que les ransomwares sont en passe d’atteindre de nouveaux sommets en 2023, alors que les acteurs malveillants intensifient rapidement leurs attaques en exploiter les failles de sécurité dans des logiciels largement utilisés pour violer les environnements cibles.
Cela s’est accompagné d’une augmentation du nombre de groupes de cybercriminels engendrant de nouvelles souches de ransomwares (par exemple, DoDo, Protonet Panda poubelle) ainsi que d’agir plus rapidement pour compromettre les entreprises une fois qu’elles ont obtenu un premier accès, une indication que les attaquants perfectionnent de mieux en mieux leur processus de vol et de cryptage des données.
Alors que la plupart des gangs de ransomwares continuent de poursuivre des stratégies d’extorsion double ou triple, certains groupes ont été observés passant du cryptage à une stratégie plus simple de vol et d’extorsion, appelée attaque d’extorsion sans cryptage.