Sophos X-Ops 正在跟踪针对暴露在互联网上的未打补丁的 Citrix NetScaler 系统的威胁参与者。
根据研究,最近的攻击与使用CVE-2023 – 3519传播恶意软件的攻击有相似之处。
Citrix在其 Citrix NetScaler 应用程序交付控制器 (ADC) 上发现了一个零日漏洞,该漏洞允许威胁参与者在 8 月初执行远程代码。
根据 Fox-IT 本月早些时候的一份报告,全球约有2,000 个 NetScaler 系统受到威胁。
8月中旬,攻击者利用Critical级NetScaler漏洞作为代码注入工具,在目标被感染后进行全域攻击。
该攻击的后期阶段包括将有效负载注入 wuauclt(.)exe 或 wmiprvse(.)exe 以及使用 BlueVPS ASN 62005 进行恶意软件暂存等行为。
除此之外,他们还使用具有独特参数的高度混淆的 PowerShell 脚本,并在受害者计算机上投放随机命名的 PHPwebshell (/var/VPN/theme/[random].php)。
Citrix 于 7 月 18 日发布了针对 CVE-2023-3519 问题的补丁,并在其公告中提供了更多详细信息。
Sophos 建议 Citrix NetScaler 基础设施的用户立即检查其是否存在受到损害的迹象,并修补漏洞。
单独修补并不能解决已经利用该漏洞获取系统访问权限的攻击,因此这两种操作对于适当的保护都是必要的。
它还建议防御者检查他们的数据,特别是 7 月中旬之前的数据,看看 NetScaler 攻击中现在看到的其他 IoC 是否在新漏洞发布之前出现。
妥协指标
转载来源: https://cybersecuritynews.com/hackers-attacking-citrix-netscaler/
图片来源网络侵权可联系删除
