Sophos X-Ops的網(wǎng)絡(luò)安全專家發(fā)現(xiàn)了一波針對(duì)暴露在互聯(lián)網(wǎng)上的未打補(bǔ)丁的Citrix NetScaler系統(tǒng)的攻擊。

安全研究人員在描述上周五發(fā)生在X的惡意攻擊時(shí)表示，它利用了一個(gè)關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-3519)，允許威脅行為者滲透系統(tǒng)并進(jìn)行全域網(wǎng)絡(luò)攻擊。

這些攻擊與以前使用相同戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的事件之間的相似性引起了人們對(duì)潛在的有組織和有經(jīng)驗(yàn)的威脅團(tuán)體的擔(dān)憂。

Sophos X-Ops一直在追蹤的這次攻擊始于8月中旬對(duì)脆弱系統(tǒng)的攻擊。一旦進(jìn)入目標(biāo)網(wǎng)絡(luò)，攻擊者就利用前面提到的NetScaler漏洞作為代碼注入工具，使他們能夠發(fā)起全面的域范圍攻擊。

在后期階段，攻擊表現(xiàn)出更高的復(fù)雜性，表現(xiàn)為幾個(gè)惡意行為。這些措施包括將有害軟件注入重要的Windows進(jìn)程，以獲得對(duì)受損系統(tǒng)的更多控制，使用特定的在線平臺(tái)來(lái)放置惡意軟件，以及使用難以檢測(cè)和破譯的復(fù)雜腳本。

此外，Sophos X-Ops觀察到受害者機(jī)器上隨機(jī)命名的PHP webshell的部署，這一策略與其他行業(yè)報(bào)告一致。在揭示這些攻擊的性質(zhì)方面，不同安全實(shí)體之間的協(xié)作提供了對(duì)威脅形勢(shì)的更廣泛理解。

事實(shí)上，這些攻擊與Fox-IT在8月份報(bào)告的結(jié)果密切相關(guān)，該報(bào)告披露了全球約2000個(gè)Citrix NetScaler系統(tǒng)因CVE-2023-3519而受到損害。

作為回應(yīng)，Citrix在7月18日發(fā)布了CVE-2023-3519漏洞的補(bǔ)丁。然而，這些攻擊的影響超出了簡(jiǎn)單的補(bǔ)丁應(yīng)用程序。為了確保全面的保護(hù)，組織不僅要應(yīng)用補(bǔ)丁，還要仔細(xì)檢查他們的網(wǎng)絡(luò)，以尋找妥協(xié)的跡象。

由于注入的有效載荷仍在分析中，Sophos X-Ops懷疑與一個(gè)知名的勒索軟件威脅參與者有關(guān)，并將這波攻擊歸因于威脅活動(dòng)集群STAC4663。

鼓勵(lì)組織檢查歷史數(shù)據(jù)以確定入侵指標(biāo)(ioc)的痕跡，并遵循Sophos X-Ops的指導(dǎo)，以保護(hù)其基礎(chǔ)設(shè)施免受持續(xù)威脅。