LockBit fidye yazılımı bağlı kuruluşları da dahil olmak üzere çok sayıda tehdit aktörü, aktif olarak sömürmek Hedef ortamlara ilk erişimi elde etmek için Citrix NetScaler uygulama dağıtım kontrolünde (ADC) ve Ağ Geçidi cihazlarında yakın zamanda açıklanan kritik bir güvenlik açığı.
Ortak danışmanlık ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Avustralya Sinyaller Direktörlüğü’nün Avustralya Siber Güvenlik Merkezi’nden (ASD’nin ACSC) geliyor. .
“LockBit 3.0 bağlı kuruluşları tarafından kullanıldığı bilinen Citrix Bleed, tehdit aktörlerinin şifre gereksinimlerini ve çok faktörlü kimlik doğrulamayı (MFA) atlamalarına olanak tanıyarak Citrix NetScaler web uygulaması dağıtım kontrolü (ADC) ve Ağ Geçidi cihazlarındaki meşru kullanıcı oturumlarının başarılı bir şekilde ele geçirilmesine olanak tanıyor. “ajanslar söz konusu.
“Meşru kullanıcı oturumlarının ele geçirilmesi yoluyla, kötü niyetli aktörler, kimlik bilgilerini toplamak, yatay hareket etmek ve verilere ve kaynaklara erişmek için yüksek izinler elde ediyor.”
CVE-2023-4966 (CVSS puanı: 9,4) olarak takip edilen güvenlik açığı, geçen ay Citrix tarafından giderildi, ancak en azından Ağustos 2023’ten bu yana sıfır gün olarak silah haline getirilmeden önce bu güvenlik açığına Citrix Bleed adı verildi.
Kamuya yapılan açıklamadan kısa bir süre sonra, Google’ın sahibi olduğu Mandiant, Amerika, EMEA ve APJ’deki çeşitli sektörleri hedeflemek için CVE-2023-4966’dan yararlanan dört farklı kategorize edilmemiş (UNC) grubu takip ettiğini açıkladı.
Suistimal kervanına katılan en son tehdit aktörü, PowerShell komut dosyalarını yürütme kusurundan yararlandığı ve takip faaliyetleri için AnyDesk ve Splashtop gibi uzaktan yönetim ve izleme (RMM) araçlarını bıraktığı gözlemlenen LockBit’tir.
Bu gelişme, açığa çıkan hizmetlerdeki güvenlik açıklarının fidye yazılımı saldırıları için birincil giriş vektörü olmaya devam ettiği gerçeğinin bir kez daha altını çiziyor.
Açıklama, Check Point’in Windows ve Linux’u hedef alan fidye yazılımı saldırılarına ilişkin karşılaştırmalı bir çalışma yayınlamasının ardından geldi; Linux’a giren ailelerin çoğunluğunun, ChaCha20/RSA ve AES/RSA algoritmalarının yanı sıra OpenSSL kütüphanesini de yoğun şekilde kullandığını belirtti.
Güvenlik araştırmacısı Marc Salinas Fernandez, “Linux fidye yazılımı, doğası gereği çok daha genel olan Windows tehditlerine kıyasla açıkça orta ve büyük ölçekli kuruluşları hedefliyor” dedi. söz konusu.
Linux’u hedefleyen çeşitli fidye yazılımı ailelerinin incelenmesi, “temel işlevlerin genellikle yalnızca temel şifreleme süreçlerine indirgendiği ve böylece işin geri kalanının komut dosyalarına ve meşru sistem araçlarına bırakıldığı basitleştirmeye yönelik ilginç bir eğilimi ortaya koyuyor.”
Check Point, minimalist yaklaşımın bu fidye yazılımı ailelerini yalnızca harici yapılandırmalara ve komut dosyalarına büyük ölçüde bağımlı hale getirmekle kalmayıp aynı zamanda onların radar altından uçmalarını da kolaylaştırdığını söyledi.
