Ataques aos sistemas Citrix NetScaler vinculados ao ator de ransomware
29 de Agosto de 2023

Um ator de ameaça, acredita-se estar ligado ao grupo de hackers FIN8, explora a falha de execução de código remoto CVE-2023-3519 para comprometer sistemas Citrix NetScaler não corrigidos em ataques em todo o domínio.

A Sophos vem monitorando essa campanha desde meados de agosto, relatando que o ator de ameaça realiza injeções de payload, usa o BlueVPS para afirmar malware, implanta scripts PowerShell ofuscados e solta webshells PHP em máquinas vítimas.

Semelhanças com outro ataque que os analistas da Sophos observaram anteriormente no verão levaram os analistas a deduzir que as duas atividades estão ligadas, com o ator de ameaça se especializando em ataques de ransomware.

CVE-2023-3519 é uma falha de injeção de código de severidade crítica (pontuação CVSS: 9.8) no Citrix NetScaler ADC e NetScaler Gateway, descoberta como um zero-day ativamente explorado em meados de julho de 2023.

O fornecedor lançou atualizações de segurança para o problema em 18 de julho, mas havia evidências de que os criminosos cibernéticos estavam supostamente vendendo um exploit para a falha desde pelo menos 6 de julho de 2023.

Em 2 de agosto, Shadowserver relatou ter descoberto 640 webshells em um número igual de servidores Citrix comprometidos, e duas semanas depois, a Fox-IT aumentou esse número para 1.952.

Em meados de agosto, mais de 31.000 instâncias Citrix NetScaler ainda eram vulneráveis ​​ao CVE-2023-3519 , mais de um mês após a atualização de segurança ter sido disponibilizada, dando aos atores de ameaças muitas oportunidades para ataques.

Sophos X-Ops agora relata que um ator de ameaça que rastreia como 'STAC4663' está explorando CVE-2023-3519 , que os pesquisadores acreditam fazer parte da mesma campanha reportada pela Fox-IT no início deste mês.

O payload entregue nos ataques recentes, que é injetado em "wuauclt.exe" ou "wmiprvse.exe", ainda está sendo analisado, mas Sophos acredita que faz parte de uma cadeia de ataque de ransomware com base no perfil do atacante.

Sophos disse ao BleepingComputer que a campanha é avaliada com moderada confiança para estar ligada ao grupo de hackers FIN8, que recentemente foi visto implantando o ransomware BlackCat/ALPHV.

Essa suposição e a correlação com a campanha anterior do ator de ransomware são baseadas na descoberta de domínio, plink, hospedagem BlueVPS, script PowerShell incomum e no PuTTY Secure Copy [pscp].

Por fim, os atacantes usam um endereço IP C2 (45.66.248[.]189) para a preparação do malware e um segundo endereço IP C2 (85.239.53[.]49) respondendo ao mesmo software C2 como na campanha anterior.

A Sophos publicou uma lista de IoCs (indicadores de comprometimento) para esta campanha no GitHub para ajudar os defensores a detectar e parar a ameaça.

Se você não aplicou as atualizações de segurança nos dispositivos Citrix ADC e Gateway, siga as ações recomendadas no boletim de segurança do fornecedor.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...