Sophos X-Ops的网络安全专家发现了一波针对暴露在互联网上的未打补丁的Citrix NetScaler系统的攻击。
安全研究人员在描述上周五发生在X的恶意攻击时表示,它利用了一个关键的远程代码执行漏洞(CVE-2023-3519),允许威胁行为者渗透系统并进行全域网络攻击。
这些攻击与以前使用相同战术、技术和程序(TTPs)的事件之间的相似性引起了人们对潜在的有组织和有经验的威胁团体的担忧。
Sophos X-Ops一直在追踪的这次攻击始于8月中旬对脆弱系统的攻击。一旦进入目标网络,攻击者就利用前面提到的NetScaler漏洞作为代码注入工具,使他们能够发起全面的域范围攻击。
在后期阶段,攻击表现出更高的复杂性,表现为几个恶意行为。这些措施包括将有害软件注入重要的Windows进程,以获得对受损系统的更多控制,使用特定的在线平台来放置恶意软件,以及使用难以检测和破译的复杂脚本。
此外,Sophos X-Ops观察到受害者机器上随机命名的PHP webshell的部署,这一策略与其他行业报告一致。在揭示这些攻击的性质方面,不同安全实体之间的协作提供了对威胁形势的更广泛理解。
事实上,这些攻击与Fox-IT在8月份报告的结果密切相关,该报告披露了全球约2000个Citrix NetScaler系统因CVE-2023-3519而受到损害。
作为回应,Citrix在7月18日发布了CVE-2023-3519漏洞的补丁。然而,这些攻击的影响超出了简单的补丁应用程序。为了确保全面的保护,组织不仅要应用补丁,还要仔细检查他们的网络,以寻找妥协的迹象。
由于注入的有效载荷仍在分析中,Sophos X-Ops怀疑与一个知名的勒索软件威胁参与者有关,并将这波攻击归因于威胁活动集群STAC4663。
鼓励组织检查历史数据以确定入侵指标(ioc)的痕迹,并遵循Sophos X-Ops的指导,以保护其基础设施免受持续威胁。
