Các hệ thống Citrix NetScaler chưa được vá tiếp xúc với Internet đang là mục tiêu của các tác nhân đe dọa không xác định trong một vụ bị nghi ngờ là một cuộc tấn công bằng ransomware.
Công ty an ninh mạng Sophos đang theo dõi cụm hoạt động với biệt danh STAC4663 .
Chuỗi tấn công liên quan đến việc khai thác CVE-2023-3519 , một lỗ hổng chèn mã nghiêm trọng ảnh hưởng đến các máy chủ NetScaler ADC và Gateway có thể hỗ trợ việc thực thi mã từ xa không được xác thực.
Trong một cuộc xâm nhập được phát hiện vào giữa tháng 8 năm 2023, lỗ hổng bảo mật này được cho là đã được sử dụng để tiến hành một cuộc tấn công trên toàn miền, bao gồm việc đưa tải trọng vào các tệp thực thi hợp pháp như Windows Update Agent (wuauclt.exe) và Nhà cung cấp công cụ quản lý Windows Dịch vụ (wmiprvse.exe). Một phân tích về tải trọng đang được tiến hành.
Các khía cạnh đáng chú ý khác bao gồm việc phân phối các tập lệnh PowerShell bị xáo trộn, shell web PHP và việc sử dụng dịch vụ của Estonia có tên BlueVPS để phát hiện phần mềm độc hại.
Sophos cho biết phương thức hoạt động này phù hợp "chặt chẽ" với chiến dịch tấn công mà Tập đoàn NCC Fox-IT tiết lộ hồi đầu tháng này, trong đó gần 2.000 hệ thống Citrix NetScaler đã bị xâm phạm.
Các cuộc tấn công cũng được cho là có liên quan đến một sự cố trước đó sử dụng các kỹ thuật tương tự ngoại trừ lỗ hổng Citrix. Bạn có thể truy cập các chỉ số xâm phạm (IoC) liên quan đến chiến dịch tại đây .
“Tất cả những điều này khiến chúng tôi phải nói rằng có khả năng đây là hoạt động từ một kẻ đe dọa đã biết chuyên tấn công ransomware”, công ty cho biết trong một loạt bài đăng trên X.
Người dùng thiết bị Citrix NetScaler ADC và Gateway được khuyến khích áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.
Sự phát triển này diễn ra khi ransomware đang trên đà đạt được những đỉnh cao mới vào năm 2023 , khi các tác nhân đe dọa đang nhanh chóng gia tăng các cuộc tấn công bằng cách khai thác các lỗ hổng bảo mật trong phần mềm được sử dụng rộng rãi để xâm nhập vào môi trường mục tiêu.
Điều này đi kèm với sự gia tăng các nhóm tội phạm mạng tạo ra các chủng ransomware được cá nhân hóa (ví dụ: DoDo, Proton và Recycle Panda ) cũng như di chuyển nhanh hơn để xâm phạm các công ty sau khi họ có được quyền truy cập ban đầu, một dấu hiệu cho thấy những kẻ tấn công ngày càng giỏi hơn. mài giũa quá trình đánh cắp và mã hóa dữ liệu của họ.
Trong khi hầu hết các nhóm ransomware tiếp tục theo đuổi các kế hoạch tống tiền gấp đôi hoặc gấp ba, một số nhóm đã được quan sát thấy chuyển từ mã hóa sang chiến lược trộm cắp và tống tiền đơn giản hơn, được gọi là cuộc tấn công tống tiền không mã hóa.