包括LockBit勒索软件关联公司在内的多个威胁参与者正在积极利用Citrix NetScaler应用交付控制(ADC)和网关设备中最近披露的一个严重安全漏洞,以获得对目标环境的初始访问权限。
联合咨询来自美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、州际信息共享和分析中心(MS-ISAC)和澳大利亚信号局的澳大利亚网络安全中心(ASD的ACSC)。
“Citrix Bleed,已知由LockBit 3.0子公司利用,允许威胁行为者绕过密码要求和多因素身份验证(MFA),导致合法用户会话的成功会话劫持在Citrix NetScaler Web应用交付控制(ADC)和网关设备,”机构说。
“通过接管合法用户会话,恶意行为者获得了更高的权限来获取凭据、横向移动以及访问数据和资源。”
该漏洞被跟踪为CVE-2023-4966(CVSS得分:9.4),Citrix于上月解决了该漏洞,但至少从2023年8月起,该漏洞已被武器化为零日漏洞。它的代号为Citrix Bleed。
在公开披露后不久,谷歌旗下的Mandiant透露,它正在跟踪四个不同的未分类(UNC)组织,这些组织参与利用CVE-2023-4966针对美洲、EMEA和APJ的几个垂直行业。
最新的威胁演员加入剥削的潮流是LockBit,它已被观察到利用该缺陷来执行PowerShell脚本,以及放弃远程管理和监控(RMM)工具,如AnyDesk和Splashtop的后续活动。
这一发展再次强调了一个事实,即暴露服务中的漏洞仍然是勒索软件攻击的主要入口向量。
披露来作为检查点发布了针对Windows和Linux的勒索软件攻击的比较研究,并指出,大多数家庭闯入Linux严重利用OpenSSL库以及ChaCha20/RSA和AES/RSA算法。
安全研究员Marc Salinas Fernandez说:“与Windows威胁相比,Linux勒索软件显然是针对中型和大型组织的。”
对各种以Linux为目标的勒索软件家族的研究“揭示了一个有趣的简化趋势,它们的核心功能通常被简化为基本的加密过程,从而将其余的工作留给脚本和合法的系统工具。”
Check Point表示,极简主义的方法不仅使这些勒索软件家族严重依赖外部配置和脚本,而且也使他们更容易在雷达下飞行。