FIN8 ハッキング グループに関係していると考えられる攻撃者は、リモート コード実行の欠陥 CVE-2023-3519 を悪用し、パッチが適用されていない Citrix NetScaler システムをドメイン全体の攻撃で侵害します。
ソフォスは 8 月中旬からこのキャンペーンを監視しており、攻撃者がペイロード インジェクションを実行し、マルウェアの記述に BlueVPS を使用し、難読化された PowerShell スクリプトを展開し、被害者のマシンに PHP Web シェルを投下していると報告しています。
ソフォスのアナリストが夏の初めに観察した別の攻撃との類似点から、アナリストは 2 つの活動に関連性があり、攻撃者はランサムウェア攻撃を専門としていると推測しました。
シトリックスへの攻撃
CVE-2023-3519 は、Citrix NetScaler ADC および NetScaler Gateway における重大度(CVSS スコア:9.8)のコードインジェクションの欠陥で、2023 年 7 月中旬に積極的に悪用されたゼロデイとして発見されました。
ベンダーは 7 月 18 日にこの問題に対するセキュリティ更新プログラムをリリースしましたが、 少なくとも 2023 年 7 月 6 日以降、サイバー犯罪者がこの欠陥を利用したエクスプロイトを販売していたという証拠がありました。
8 月 2 日までに、Shadowserver は、侵害された Citrix サーバーと同数の640 個の Web シェルを発見したと報告し、2 週間後、Fox-IT はその数を 1,952 個に増やしました。
セキュリティ更新プログラムが利用可能になってから 1 か月以上経ったにもかかわらず、8 月中旬までに 31,000 を超える Citrix NetScaler インスタンスが CVE-2023-3519 に対して脆弱なままであり、攻撃者に攻撃の機会を十分に与えていました。
Sophos X-Ops は現在、「STAC4663」として追跡している攻撃者が CVE-2023-3519 を悪用していると報告しています。研究者らは、これは今月初めに Fox-IT が報告したのと同じキャンペーンの一部であると考えています。
最近の攻撃で配信された「wuauclt.exe」または「wmiprvse.exe」に注入されたペイロードは、現在も分析中です。それでもソフォスは、攻撃者のプロフィールに基づいて、これがランサムウェア攻撃チェーンの一部であると考えています。
ソフォスは、このキャンペーンは、最近BlackCat/ALPHV ランサムウェアを展開しているのが確認された FIN8 ハッキング グループに関連していると中程度の確信を持って評価されていると述べました。
この仮定とランサムウェア攻撃者の以前のキャンペーンとの相関関係は、ドメイン検出、plink、BlueVPS ホスティング、異常な PowerShell スクリプト、および PuTTY セキュア コピー [pscp] に基づいています。
最後に、攻撃者はマルウェアのステージングに C2 IP アドレス (45.66.248[.]189) を使用し、前のキャンペーンと同じ C2 ソフトウェアに応答する 2 番目の C2 IP アドレス (85.239.53[.]49) を使用します。
ソフォスは、防御側が脅威を検出して阻止できるように、このキャンペーンの IoC (侵害の兆候) のリストをGitHub で公開しました。
Citrix ADCおよびゲートウェイアプライアンスにセキュリティアップデートを適用していない場合は、 ベンダーのセキュリティ情報で推奨されるアクションに従ってください。
Comments