Acredita-se que um conhecido agente de ameaças especializado em ataques de ransomware esteja por trás de uma campanha recente que teve como alvo sistemas Citrix NetScaler não corrigidos voltados para a Internet para servir como ponto de apoio inicial em redes corporativas.
“Nossos dados indicam uma forte semelhança entre ataques usando CVE-2023-3519 e ataques anteriores usando vários dos mesmos TTPs”, compartilharam os pesquisadores da Sophos .
Sistemas Citrix sob ataque
Em meados de julho de 2023, uma vulnerabilidade de execução remota de código (RCE) de dia zero ( CVE-2023-3519 ) começou a ser explorada em liberdade. A Citrix lançou correções para ele em 18 de julho e pediu aos clientes que corrigissem suas instalações e verificassem indicadores de comprometimento.
Mais tarde, foi descoberto que explorações para o bug estavam disponíveis para compra na dark web algum tempo antes dos primeiros ataques.
No início deste mês, a Fox-IT revelou que existem mais de 1.200 dispositivos NetScaler que estão comprometidos com webshells instalados, embora tenham sido corrigidos para CVE-2023-3519.
Atribuição de ataque
Os pesquisadores da Sophos têm monitorado uma campanha de ataque desde meados de agosto e descobriram que os invasores aproveitaram o CVE-2023-3519 para conduzir ataques a sistemas Citrix NetScaler não corrigidos.
Durante os estágios posteriores, os invasores implantaram injeções de carga útil, usaram BlueVPS ASN 62005 para teste de malware, scripts PowerShell altamente ofuscados e lançaram webshells PHP nomeados aleatoriamente nas máquinas das vítimas.
“A carga injetada para o ataque que vimos envolvendo a Citrix ainda está em análise. No entanto, no início do verão, vimos atividade em um segundo caso que tinha uma forte semelhança com este”, observou a equipe do Sophos X-Ops .
“Não envolveu a vulnerabilidade Citrix, mas usou alguns dos mesmos TTPs (descoberta de domínio, plink, hospedagem BlueVPS, scripts PowerShell incomuns, uso de PuTTY Secure Copy [pscp]) de maneiras muito semelhantes, junto com um segundo endereço IP C2 (85.239.53[.]49) respondendo ao mesmo software C2.”
Tudo isso os levou a acreditar que as atividades haviam sido conduzidas pelo mesmo agente de ameaças, especializado em ataques de ransomware.
A equipe publicou indicadores de comprometimento ( IoCs ) no GitHub e insta qualquer pessoa com infraestrutura Citrix NetScaler a verificar se há sinais de comprometimento e corrigir a vulnerabilidade (se ainda não o fez).
“Também aconselhamos os defensores a examinarem os seus dados, especialmente os dados anteriores a meados de julho, para ver se outros desses IoCs agora vistos nos ataques NetScaler apareceram antes do anúncio da nova vulnerabilidade”, acrescentaram.
FONTE: HELP NET SECURITY