Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Не исправленные системы Citrix NetScaler, подключенные к Интернету, становятся мишенью неизвестных участников угрозы, которые подозреваются в атаке вымогателей.
Компания по кибербезопасности Sophos отслеживает группу активности под псевдонимом STAC4663.
Цепочки атак включают использование CVE-2023-3519, критической уязвимости при внедрении кода, влияющей на АЦП NetScaler и серверы Gateway, которые могут облегчить удаленное выполнение кода без проверки подлинности.
В одном вторжении, обнаруженном в середине августа 2023 года, уязвимость в системе безопасности, как утверждается, использовалась для проведения атаки по всему домену, включая внедрение полезных нагрузок в законные исполняемые файлы, такие как агент центра обновления Windows (wuauclt.exe ) и службу поставщика инструментария управления Windows (wmiprvse.exe). В настоящее время проводится анализ полезной нагрузки.
Другие заметные аспекты включают распространение запутанных сценариев PowerShell, веб-оболочек PHP и использование эстонского сервиса BlueVPS для размещения вредоносных программ.
Sophos заявила, что порядок действий "тесно" совпадает с порядком проведения кампании атак, которую NCC Group Fox-IT раскрыла ранее в этом месяце, в ходе которой было взломано около 2000 систем Citrix NetScaler.
Также сообщается, что атаки связаны с более ранним инцидентом, в котором использовались те же методы, но без уязвимости Citrix. С индикаторами компрометации (IOC), связанными с кампанией, можно ознакомиться здесь.
"Все это заставляет нас говорить о том, что, вероятно, это деятельность известного злоумышленника, специализирующегося на атаках с использованием программ-вымогателей", - говорится в сообщении компании в серии сообщений на X.
Пользователям устройств Citrix NetScaler ADC и Gateway настоятельно рекомендуется применить исправления для устранения потенциальных угроз.
Разработка происходит в связи с тем, что программы-вымогатели находятся на пути к достижению новых максимумов в 2023 году, поскольку субъекты угрозы быстро наращивают свои атаки, используя недостатки безопасности в широко используемом программном обеспечении для взлома целевых сред.
Это сопровождалось ростом числа групп киберпреступников, создающих персонализированные программы-вымогатели (например, DoDo, Proton и Trash Panda), а также ускорением действий по компрометации компаний после получения ими первоначального доступа, что свидетельствует о том, что злоумышленники совершенствуют процесс кражи и шифрования данных.
В то время как большинство банд вымогателей продолжают использовать схемы двойного или тройного вымогательства, некоторые группы, как было замечено, переходят от шифрования к более простой стратегии кражи и вымогательства, которая называется атакой с вымогательством без шифрования.
Компания по кибербезопасности Sophos отслеживает группу активности под псевдонимом STAC4663.
Цепочки атак включают использование CVE-2023-3519, критической уязвимости при внедрении кода, влияющей на АЦП NetScaler и серверы Gateway, которые могут облегчить удаленное выполнение кода без проверки подлинности.
В одном вторжении, обнаруженном в середине августа 2023 года, уязвимость в системе безопасности, как утверждается, использовалась для проведения атаки по всему домену, включая внедрение полезных нагрузок в законные исполняемые файлы, такие как агент центра обновления Windows (wuauclt.exe ) и службу поставщика инструментария управления Windows (wmiprvse.exe). В настоящее время проводится анализ полезной нагрузки.
Другие заметные аспекты включают распространение запутанных сценариев PowerShell, веб-оболочек PHP и использование эстонского сервиса BlueVPS для размещения вредоносных программ.
Sophos заявила, что порядок действий "тесно" совпадает с порядком проведения кампании атак, которую NCC Group Fox-IT раскрыла ранее в этом месяце, в ходе которой было взломано около 2000 систем Citrix NetScaler.
Также сообщается, что атаки связаны с более ранним инцидентом, в котором использовались те же методы, но без уязвимости Citrix. С индикаторами компрометации (IOC), связанными с кампанией, можно ознакомиться здесь.
"Все это заставляет нас говорить о том, что, вероятно, это деятельность известного злоумышленника, специализирующегося на атаках с использованием программ-вымогателей", - говорится в сообщении компании в серии сообщений на X.
Пользователям устройств Citrix NetScaler ADC и Gateway настоятельно рекомендуется применить исправления для устранения потенциальных угроз.
Разработка происходит в связи с тем, что программы-вымогатели находятся на пути к достижению новых максимумов в 2023 году, поскольку субъекты угрозы быстро наращивают свои атаки, используя недостатки безопасности в широко используемом программном обеспечении для взлома целевых сред.
Это сопровождалось ростом числа групп киберпреступников, создающих персонализированные программы-вымогатели (например, DoDo, Proton и Trash Panda), а также ускорением действий по компрометации компаний после получения ими первоначального доступа, что свидетельствует о том, что злоумышленники совершенствуют процесс кражи и шифрования данных.
В то время как большинство банд вымогателей продолжают использовать схемы двойного или тройного вымогательства, некоторые группы, как было замечено, переходят от шифрования к более простой стратегии кражи и вымогательства, которая называется атакой с вымогательством без шифрования.
