Grupo de ransomware explora sistemas Citrix NetScaler para acesso inicial

Views: 178
0 0
Read Time:2 Minute, 12 Second

Acredita-se que um conhecido agente de ameaças especializado em ataques de ransomware esteja por trás de uma campanha recente que teve como alvo sistemas Citrix NetScaler não corrigidos voltados para a Internet para servir como ponto de apoio inicial em redes corporativas.

“Nossos dados indicam uma forte semelhança entre ataques usando CVE-2023-3519 e ataques anteriores usando vários dos mesmos TTPs”, compartilharam os pesquisadores da Sophos .

Sistemas Citrix sob ataque

Em meados de julho de 2023, uma vulnerabilidade de execução remota de código (RCE) de dia zero ( CVE-2023-3519 ) começou a ser explorada em liberdade. A Citrix lançou correções para ele em 18 de julho e pediu aos clientes que corrigissem suas instalações e verificassem indicadores de comprometimento.

Mais tarde, foi descoberto que explorações para o bug estavam disponíveis para compra na dark web algum tempo antes dos primeiros ataques.

No início deste mês, a Fox-IT revelou que existem mais de 1.200 dispositivos NetScaler que estão comprometidos com webshells instalados, embora tenham sido corrigidos para CVE-2023-3519.

Atribuição de ataque

Os pesquisadores da Sophos têm monitorado uma campanha de ataque desde meados de agosto e descobriram que os invasores aproveitaram o CVE-2023-3519 para conduzir ataques a sistemas Citrix NetScaler não corrigidos.

Durante os estágios posteriores, os invasores implantaram injeções de carga útil, usaram BlueVPS ASN 62005 para teste de malware, scripts PowerShell altamente ofuscados e lançaram webshells PHP nomeados aleatoriamente nas máquinas das vítimas.

“A carga injetada para o ataque que vimos envolvendo a Citrix ainda está em análise. No entanto, no início do verão, vimos atividade em um segundo caso que tinha uma forte semelhança com este”, observou a equipe do Sophos X-Ops .

“Não envolveu a vulnerabilidade Citrix, mas usou alguns dos mesmos TTPs (descoberta de domínio, plink, hospedagem BlueVPS, scripts PowerShell incomuns, uso de PuTTY Secure Copy [pscp]) de maneiras muito semelhantes, junto com um segundo endereço IP C2 (85.239.53[.]49) respondendo ao mesmo software C2.”

Tudo isso os levou a acreditar que as atividades haviam sido conduzidas pelo mesmo agente de ameaças, especializado em ataques de ransomware.

A equipe publicou indicadores de comprometimento ( IoCs ) no GitHub e insta qualquer pessoa com infraestrutura Citrix NetScaler a verificar se há sinais de comprometimento e corrigir a vulnerabilidade (se ainda não o fez).

“Também aconselhamos os defensores a examinarem os seus dados, especialmente os dados anteriores a meados de julho, para ver se outros desses IoCs agora vistos nos ataques NetScaler apareceram antes do anúncio da nova vulnerabilidade”, acrescentaram.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS