Атаки на системы Citrix NetScaler связаны с злоумышленником-вымогателем

Злоумышленник, предположительно связанный с хакерской группой FIN8, использует уязвимость удаленного выполнения кода CVE-2023-3519 для компрометации неисправленных систем Citrix NetScaler в ходе атак на уровне всего домена.

Исследователи Sophos отслеживает эту кампанию с середины августа и сообщают, что злоумышленник выполняет инъекции полезной нагрузки, использует BlueVPS для обнаружения вредоносного ПО, развертывает запутанные сценарии PowerShell и устанавливает веб-шеллы PHP на компьютеры жертв.

Сходство с другой атакой, которую аналитики Sophos наблюдали ранее летом, привело к выводу, что эти два действия связаны между собой, поскольку злоумышленник специализируется на атаках с использованием программ-вымогателей.

CVE-2023-3519 — это критическая уязвимость нулевого дня с оценкой серьезности 9,8. Она позволяет внедрит код в Citrix NetScaler ADC и NetScaler Gateway. Её активное использование обнаружили в середине июля 2023 года.

Вендор выпустил обновления безопасности для этой проблемы 18 июля, но были свидетельства того, что киберпреступники предположительно продавали эксплойт для уязвимости как минимум с 6 июля 2023 года .

Ко 2 августа в Shadowserver сообщили об обнаружении 640 веб-шеллов на таком же количестве скомпрометированных серверов Citrix, а две недели спустя в Fox-IT сообщили о 1952 известных случаях.

К середине августа более 31 тыс. экземпляров Citrix NetScaler оставались уязвимыми для CVE-2023-3519. Это давало злоумышленникам массу возможностей для атак.

Полезная нагрузка, доставленная в ходе недавних атак и внедренная в «wuauclt.exe» или «wmiprvse.exe», все еще анализируется. В Sophos считают, что это часть цепочки атак с использованием программы-вымогателя BlackCat/ALPHV. Ее оператором выступает группа FIN8.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме