Um ator com motivação financeira ligado ao grupo FIN8 explora o RCE CVE-2023-3519 em ataques a sistemas Citrix NetScaler em ataques massivos.
O Sophos X-Ops está monitorando uma campanha em andamento, que tem como alvo os sistemas Citrix NetScaler, conduzida por agentes de ameaças vinculados ao grupo FIN8 [BleepingComputer, SOCRadar]. Os hackers estão explorando a execução remota de código, rastreado como CVE-2023-3519 , em uma campanha em grande escala.
A falha CVE-2023-3519 (pontuação CVSS: 9,8) é uma injeção de código que pode resultar na execução remota de código não autenticado. Explorações desta vulnerabilidade foram observadas em ataques contra dispositivos não mitigados. A Citrix relatou que a exploração bem-sucedida requer que o dispositivo seja configurado como um gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) OU servidor virtual AAA.
Sophos X-Ops is currently tracking a campaign by threat actors targeting unpatched Citrix NetScaler systems exposed to the internet. Our data indicates strong similarity between attacks using CVE-2023-3519 and previous attacks using a number of the same TTPs.
— Sophos X-Ops (@SophosXOps) August 25, 2023
A Sophos começou a monitorar esta campanha em meados de agosto, quando detectou pela primeira vez agentes de ameaças infectando um sistema alvo usando a vulnerabilidade NetScaler de classe crítica como uma ferramenta de injeção de código para conduzir um ataque em todo o domínio.
Os invasores usam scripts PowerShell altamente ofuscados, chamados com argumentos distintos, e também foram detectados lançando webshells PHP nomeados aleatoriamente (/var/vpn/theme/[random].php) nas máquinas das vítimas.
“A carga injetada para o ataque que vimos envolvendo a Citrix ainda está em análise. No entanto, no início do verão, vimos atividade num segundo caso que tinha uma forte semelhança com este caso.” continua Sophos.
Em julho, a CISA dos EUA revelou que os agentes de ameaças estão explorando a vulnerabilidade para lançar web shells em sistemas vulneráveis.
A CISA não atribuiu o ataque a um ator de ameaça específico. Os invasores exploraram a falha para implantar o webshell que foi usado para realizar a descoberta no diretório ativo (AD) da vítima e coletar e exfiltrar dados do AD. Os atores da ameaça tentaram migrar lateralmente para um controlador de domínio, mas a CISA apontou que os controles de segmentação de rede do dispositivo bloqueavam o movimento.
Os invasores obtiveram senhas criptografadas dos arquivos de configuração do NetScaler ADC e a chave de descriptografia foi armazenada no dispositivo ADC. Em seguida, os agentes da ameaça enviaram os dados como um arquivo de imagem para um caminho acessível pela Web:
cp /var/tmp/test.tar.gz /netscaler/ns_gui/vpn/medialogininit.png.
Os invasores tentaram verificar a conectividade de rede de saída com um comando ping e executaram comandos de host para uma pesquisa de DNS em toda a sub-rede. Os controles de segmentação de rede também bloquearam essa atividade.
No início de agosto, pesquisadores de segurança da organização sem fins lucrativos Shadowserver Foundation relataram que centenas de servidores Citrix Netscaler ADC e Gateway já foram comprometidos como parte de uma campanha contínua que explora a vulnerabilidade crítica de execução remota de código (RCE) CVE-2023-3519.
Em uma atualização fornecida pela Shadowserver Foundation, os pesquisadores da organização sem fins lucrativos confirmaram que os agentes de ameaças instalaram webshells com sucesso em pelo menos 581 servidores Citrix comprometidos pela exploração do problema acima.
No início do verão, a Sophos viu atividades que não envolviam a vulnerabilidade Citrix, mas que compartilhavam semelhanças de TTP (descoberta de domínio, plink, hospedagem BlueVPS, scripts incomuns do PowerShell, uso de PuTTY Secure Copy [pscp]) com ataques conduzidos por um conhecido ator de ameaças especializado em ataques de ransomware.
Os atores da ameaça também usam um endereço IP C2 (45.66.248[.]189) para teste de malware e um segundo IP C2 (85.239.53[.]49) respondendo ao mesmo software C2. Esses endereços C2 também foram observados nos ataques de ransomware anteriores.
A Sophos rastreou essas atividades maliciosas como Threat Activity Cluster número STAC4663.
Os pesquisadores ainda estão analisando a carga entregue nos ataques, que é injetada em “wuauclt.exe” ou “wmiprvse.exe”.
“Aconselhamos qualquer pessoa com infraestrutura Citrix NetScaler a verificar imediatamente se há sinais de comprometimento e também a corrigir a vulnerabilidade. A correção por si só não resolverá os ataques que já usam a vulnerabilidade para obter acesso ao sistema, portanto, ambas as ações são necessárias para a proteção adequada.” continua o relatório.
A Sophos também compartilhou uma lista de IoCs para esta campanha:
We also advise defenders to examine their data, particularly data from before mid-July, to see if other of these IoCs now seen in the NetScaler attacks have appeared prior to announcement of the new vulnerability.
— Sophos X-Ops (@SophosXOps) August 25, 2023
O grupo FIN8 está ativo desde 2016 e utiliza malware conhecido como PUNCHTRACK e BADHATCH para infectar sistemas PoS e roubar dados de cartões de pagamento.
Nos últimos anos, o grupo foi observado usando uma série de ameaças de ransomware, incluindo o ransomware Ragnar Locker (junho de 2021) e o ransomware White Rabbit (janeiro de 2022).
Em dezembro de 2022, a Symantec observou o grupo tentando implantar o ransomware ALPHV/BlackCat.
A Sophos publicou uma lista de IoCs (indicadores de comprometimento) para esta campanha no GitHub para ajudar os defensores a detectar e impedir a ameaça.
Fonte: Security Affairs
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
