Nezakrpljeni Citrix NetScaler sistemi izloženi internetu su na meti nepoznatih pretnji u onome za šta se sumnja da je ransomware napad.
Kompanija za kibernetičku bezbjednost Sophos prati klaster aktivnosti pod imenom STAC4663 .
Lanci napada uključuju iskorištavanje CVE-2023-3519, kritične ranjivosti ubrizgavanja koda koja utiče na NetScaler ADC i Gateway servere koji bi mogli olakšati neautorizovano udaljeno izvršavanje koda.
U jednom upadu otkrivenom sredinom augusta 2023. godine, kaže se da je sigurnosni propust korišten za izvođenje napada na cijeloj domeni, uključujući ubacivanje payload-a u legitimne izvršne datoteke kao što su Windows Update Agent (wuauclt.exe) i Windows Management Instrumentation Provider Usluga (wmiprvse.exe). U toku je analiza payload-a.
Drugi značajni aspekti uključuju distribuciju mutnih PowerShell skripti, PHP web shell-ova i korištenje estonskog servisa zvanog BlueVPS za postavljanje malware-a.
Sophos je rekao da je modus operandi “usko povezan” sa kampanjom napada koju je NCC Group Fox-IT otkrila ranije ovog mjeseca u kojoj je provaljeno skoro 2.000 Citrix NetScaler sistema.
Takođe se navodi da su napadi povezani sa ranijim incidentom koji je koristio iste tehnike bez Citrix ranjivosti.
“Sve nas to navodi da kažemo da je vjerovatno da je riječ o aktivnostima poznatog hakera specijalizovanog za ransomware napade “, rekla je kompanija u nizu postova na X.
Korisnicima Citrix NetScaler ADC i Gateway uređaja toplo se preporučuje da primjene zakrpe kako bi ublažili potencijalne prijetnje.
Razvoj dolazi kada je ransomware na putu da dosegne nove vrhunce u 2023. godini, jer hakeri ubrzano eskaliraju svoje napade koristeći sigurnosne propuste u široko korištenom softveru za probijanje ciljnih okruženja.
Ovo je popraćeno porastom broja kibernetičkih kriminalnih grupa koje stvaraju personalizovane sojeve ransomware-a (npr. DoDo, Proton i Trash Panda ), kao i bržim kretanjem ka kompromitovanju kompanija nakon što dobiju početni pristup, što je pokazatelj da su napadači sve bolji i usavršavaju svoj proces krađe i šifriranja podataka.
Dok većina ransomware bandi nastavlja provoditi šeme dvostruke ili trostruke iznude, neke grupe su primijećene kako se okreću od šifriranja ka jednostavnijoj strategiji krađe i iznude, koja se naziva napadom iznude bez šifriranja.
Izvor: The Hacker News