Alerte Citrix NetScaler: une vulnérabilité critique exploitée dans le cadre d'un ransomware
Des systèmes Citrix NetScaler non patchés et vulnérables sont actuellement la cible d'acteurs malveillants dans ce qui est suspecté d'être une attaque par ransomware.
L'entreprise de cybersécurité Sophos suit le groupe suspect connu sous le nom de STAC4663.
Les chaînes d'attaque impliquent l'exploitation de CVE-2023-3519, une vulnérabilité critique d'injection de code affectant les serveurs NetScaler ADC et Gateway qui pourrait faciliter l'exécution de code à distance non authentifié.
Dans une intrusion détectée à la mi-août 2023, la faille de sécurité aurait été utilisée pour mener une attaque en injectant des charges utiles dans des exécutables légitimes tels que l'agent de mise à jour Windows (wuauclt.exe) et le service de fournisseur d'instrumentation de gestion Windows (wmiprvse.exe). Une analyse de la charge utile est en cours.
D'autres aspects notables sont la distribution de scripts PowerShell obfusqués, de shells web PHP et l'utilisation d'un service estonien appelé BlueVPS pour la mise en place du malware.
Sophos a déclaré que le modus operandi s'aligne "étroitement" sur celui d'une campagne d'attaque que le NCC Group Fox-IT a divulguée au début du mois, dans laquelle près de 2 000 systèmes Citrix NetScaler ont été violés.
Les attaques seraient également liées à un incident antérieur qui a utilisé les mêmes techniques, sans la vulnérabilité de Citrix. Les indicateurs de compromission (IoC) associés à la campagne peuvent être consultés ici.
Il est vivement recommandé aux utilisateurs des appliances Citrix NetScaler ADC et Gateway d'appliquer les correctifs afin d'atténuer les menaces potentielles.
Cette évolution intervient alors que les ransomwares sont en passe d'atteindre de nouveaux sommets en 2023, les cybercriminels intensifiant rapidement leurs attaques en exploitant les failles de sécurité de logiciels largement utilisés pour pénétrer dans les environnements cibles.
Cette évolution s'accompagne d'une recrudescence des groupes de cybercriminels qui créent de nouvelles souches de ransomware (DoDo, Proton et Trash Panda, par exemple) et qui agissent plus rapidement pour compromettre les entreprises une fois qu'ils ont obtenu un accès initial, ce qui indique que les attaquants perfectionnent de plus en plus leur processus de vol et de chiffrement des données.
Alors que la plupart des gangs de ransomwares continuent de pratiquer l'extorsion double ou triple, certains groupes sont passés du chiffrement à une stratégie plus simple de vol et d'extorsion, que l'on appelle une attaque d'extorsion sans chiffrement.
Source: The Hacker News