New Ransomware Campaign Targets Citrix NetScaler Flaw
2023/08/29 InfoSecurity — Citrix NetScaler の、インターネットに公開されているパッチ未適用の システムを標的とする一連の攻撃を、Sophos X-Ops のサイバー・セキュリティ専門家たちが発見した。8月25日 (金) の X (Twitter) で共有された、この悪意あるキャンペーンに関する説明では、深刻なリモートコード実行の脆弱性 CVE-2023-3519 が悪用され、その結果として脅威アクターがシステムに侵入し、ドメインを覆う規模での攻撃キャンペーンが発生していると、セキュリティ研究者たちは述べている。
これらの攻撃で用いられている TTP (Tactics/Techniques/Procedures) は、過去のインシデントにおけるものと類似していることから、組織化された経験豊富な脅威グループの犯行だと懸念されている。
この、Sophos X-Ops が追跡している攻撃は、8月中旬に始まり、脆弱なシステムを侵害してきた。標的のネットワークに侵入した攻撃者は、この NetScaler の脆弱性をコード・インジェクション・ツールとして悪用し、ドメイン全体を対象とした包括的な攻撃を開始している。
その後に、攻撃の手法が複雑さを増していることが、いくつかの悪質な行為から判明している。たとえば、侵害したシステムを完全にコントロールするために、重要な Windows プロセスにマルウェアが配信されている。また、マルウェアをステージングするためのオンライン・プラットフォームの利用や、検出/解読を困難にするための複雑なスクリプトの使用などが確認されている。
さらに Sophos X-Ops は、被害者のマシンに PHP の Web シェルがランダムに配置されていることを発見した。このような攻撃の性質を明らかにするために、さまざまなセキュリティ機関が協力したことで、脅威の状況をより包括的に把握できるようになった。
Fox-IT が 8月に報告したように、この CVE-2023-3519 を悪用する悪用により、全世界で約 2,000台の Citrix NetScaler システムが侵害されたようだ。つまり、Sophos と Fox-IT の調査結果は、密接に一致している。
これを受けた Citrix は、7月18日に CVE-2023-3519 の脆弱性に対するパッチを発表した。しかし、これらの攻撃の影響を防ぐには、パッチの適用だけでは不十分だった。包括的な保護を確実にするためには、侵害の兆候の有無について、ネットワークを入念に検査することも必要だ。
注入されたペイロードを分析中の Sophos X-Ops は、有名なランサムウェア脅威アクターの関与を疑っており、この一連の攻撃は Threat Activity Cluster STAC4663 によるものだと見ている。
攻撃を受ける可能性がある組織は、特定された侵害の指標 (IoC) の痕跡がないかを、過去のデータを調査する必要がある。また、Sophos X-Ops のガイダンスに従って、継続的な脅威からインフラを保護することが推奨される。
この脆弱性 CVE-2023-3519 は、2023/07/21 の「CISA 警告 23/07/21:Citrix のゼロデイ CVE-2023-3519 がインフラ組織への攻撃で悪用」で説明されているように、米政府機関で悪用が検出されていると見るべきなのでしょう。よろしければ、CVE-2023-3519 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.