新的勒索软件活动针对 Citrix NetScaler 缺陷

Sophos X-Ops 的网络安全专家发现了一波针对暴露在互联网上的未修补 Citrix NetScaler 系统的攻击。

安全研究人员在上周五描述X上的恶意活动时表示，它利用了一个关键的远程代码执行漏洞（CVE-2023-3519），允许威胁行为者渗透系统并进行全域网络活动。

这些攻击与以前使用相同策略、技术和程序 （TTP） 的事件之间的相似性引起了人们对潜在有组织且经验丰富的威胁组织的担忧。

Sophos X-Ops 一直在跟踪的攻击始于 8 月中旬易受攻击的系统遭到入侵。一旦进入目标网络，攻击者就会利用上述 NetScaler 漏洞作为代码注入工具，使他们能够发起全面的域范围攻击。

在后期阶段，攻击表现出更高的复杂性，以多种恶意行为为标志。其中包括将有害软件注入基本的 Windows 进程以更好地控制受感染的系统，使用特定的在线平台来暂存恶意软件，以及使用难以检测和破译的复杂脚本。

此外，Sophos X-Ops 观察到在受害机器上部署了随机命名的 PHP webshell，这种策略与其他行业报告一致。不同安全实体在揭示这些攻击的性质方面的合作提供了对威胁形势的更广泛理解。

事实上，这些攻击与 Fox-IT 在 8 月份报告的调查结果密切相关，后者显示全球约有 2000 个 Citrix NetScaler 系统因 CVE-2023-3519 而受到损害。

阅读有关 Fox-IT 调查结果的更多信息： 大规模开发活动通过后门针对 Citrix NetScalers

作为回应，Citrix 于 7 月 18 日发布了针对 CVE-2023-3519 漏洞的补丁。然而，这些攻击的影响超出了简单的补丁应用。为了确保全面的保护，组织不仅要应用补丁，还要仔细检查其网络是否有入侵迹象。

由于注入的有效负载仍在分析中，Sophos X-Ops 怀疑是知名勒索软件威胁行为者的参与，将这一波攻击归因于威胁活动集群STAC4663。

我们鼓励组织检查历史数据，以查找已识别的入侵指标 （IoC） 的痕迹，并遵循 Sophos X-Ops 的指导，以保护其基础架构免受持续威胁。