Sophos X-Ops的網絡安全專家發(fā)現了一波針對暴露在互聯網上的未打補丁的Citrix NetScaler系統(tǒng)的攻擊。

安全研究人員在描述上周五發(fā)生在X的惡意攻擊時表示，它利用了一個關鍵的遠程代碼執(zhí)行漏洞(CVE-2023-3519)，允許威脅行為者滲透系統(tǒng)并進行全域網絡攻擊。

這些攻擊與以前使用相同戰(zhàn)術、技術和程序(TTPs)的事件之間的相似性引起了人們對潛在的有組織和有經驗的威脅團體的擔憂。

Sophos X-Ops一直在追蹤的這次攻擊始于8月中旬對脆弱系統(tǒng)的攻擊。一旦進入目標網絡，攻擊者就利用前面提到的NetScaler漏洞作為代碼注入工具，使他們能夠發(fā)起全面的域范圍攻擊。

在后期階段，攻擊表現出更高的復雜性，表現為幾個惡意行為。這些措施包括將有害軟件注入重要的Windows進程，以獲得對受損系統(tǒng)的更多控制，使用特定的在線平臺來放置惡意軟件，以及使用難以檢測和破譯的復雜腳本。

此外，Sophos X-Ops觀察到受害者機器上隨機命名的PHP webshell的部署，這一策略與其他行業(yè)報告一致。在揭示這些攻擊的性質方面，不同安全實體之間的協(xié)作提供了對威脅形勢的更廣泛理解。

事實上，這些攻擊與Fox-IT在8月份報告的結果密切相關，該報告披露了全球約2000個Citrix NetScaler系統(tǒng)因CVE-2023-3519而受到損害。

作為回應，Citrix在7月18日發(fā)布了CVE-2023-3519漏洞的補丁。然而，這些攻擊的影響超出了簡單的補丁應用程序。為了確保全面的保護，組織不僅要應用補丁，還要仔細檢查他們的網絡，以尋找妥協(xié)的跡象。

由于注入的有效載荷仍在分析中，Sophos X-Ops懷疑與一個知名的勒索軟件威脅參與者有關，并將這波攻擊歸因于威脅活動集群STAC4663。

鼓勵組織檢查歷史數據以確定入侵指標(ioc)的痕跡，并遵循Sophos X-Ops的指導，以保護其基礎設施免受持續(xù)威脅。