Nhiều tác nhân đe dọa, bao gồm các chi nhánh ransomware LockBit, đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây trong Citrix NetScaler kiểm soát phân phối ứng dụng (ADC) và các thiết bị Gateway để có được quyền truy cập ban đầu vào môi trường đích.
Tư vấn chung đến từ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA), Cục Điều tra Liên bang (FBI), Trung tâm Phân tích và Chia sẻ Thông tin Đa bang (MS-ISAC) và Trung tâm An ninh mạng Úc của Tổng cục Tín hiệu Úc (ASD's ACSC).
"Citrix Bleed, được biết là được tận dụng bởi các chi nhánh của LockBit 3.0, cho phép các tác nhân đe dọa bỏ qua các yêu cầu mật khẩu và xác thực đa yếu tố (MFA), dẫn đến chiếm quyền điều khiển phiên thành công các phiên người dùng hợp pháp trên Citrix NetScaler kiểm soát phân phối ứng dụng web (ADC) và các thiết bị Gateway", các cơ quan cho biết.
"Thông qua việc tiếp quản các phiên người dùng hợp pháp, các tác nhân độc hại có được quyền nâng cao để thu thập thông tin đăng nhập, di chuyển ngang và truy cập dữ liệu và tài nguyên."
Được theo dõi là CVE-2023-4966 (điểm CVSS: 9,4), lỗ hổng đã được Citrix giải quyết vào tháng trước nhưng không phải trước khi nó được vũ khí hóa dưới dạng zero-day ít nhất là kể từ tháng 8/2023. Nó có tên mã là Citrix Bleed.
Ngay sau khi tiết lộ công khai, Mandiant thuộc sở hữu của Google tiết lộ họ đang theo dõi bốn nhóm chưa được phân loại (UNC) khác nhau liên quan đến việc khai thác CVE-2023-4966 để nhắm mục tiêu vào một số ngành dọc ở Châu Mỹ, EMEA và APJ.
Tác nhân đe dọa mới nhất tham gia vào nhóm khai thác là LockBit, đã được quan sát thấy lợi dụng lỗ hổng để thực thi các tập lệnh PowerShell cũng như bỏ các công cụ quản lý và giám sát từ xa (RMM) như AnyDesk và Splashtop cho các hoạt động tiếp theo.
Sự phát triển một lần nữa nhấn mạnh thực tế rằng các lỗ hổng trong các dịch vụ bị lộ tiếp tục là một vectơ xâm nhập chính cho các cuộc tấn công ransomware.
Tiết lộ được đưa ra khi Check Point phát hành một nghiên cứu so sánh về các cuộc tấn công ransomware nhắm vào Windows và Linux, lưu ý rằng phần lớn các gia đình đột nhập vào Linux sử dụng rất nhiều thư viện OpenSSL cùng với các thuật toán ChaCha20 / RSA và AES / RSA.
"Linux ransomware rõ ràng nhắm vào các tổ chức vừa và lớn so với các mối đe dọa Windows, vốn có bản chất chung chung hơn nhiều", nhà nghiên cứu bảo mật Marc Salinas Fernandez cho biết.
Việc kiểm tra các họ ransomware nhắm mục tiêu Linux khác nhau "cho thấy một xu hướng thú vị hướng tới đơn giản hóa, trong đó các chức năng cốt lõi của chúng thường được giảm xuống chỉ còn các quy trình mã hóa cơ bản, do đó để phần còn lại của công việc cho các tập lệnh và các công cụ hệ thống hợp pháp."
Check Point cho biết cách tiếp cận tối giản không chỉ khiến các họ ransomware này phụ thuộc nhiều vào cấu hình và tập lệnh bên ngoài mà còn giúp chúng dễ dàng bay dưới radar hơn.