Группа хакеров, предположительно связанная с FIN8, использует критическую уязвимость CVE-2023-3519 в продуктах Citrix NetScaler для атак на необновленные системы по всему миру. Об этом сообщают исследователи Sophos, отслеживающие данную вредоносную кампанию с середины августа.
Злоумышленники используют эксплойт для внедрения вредоносного ПО, развёртывания веб-оболочек и запуска вредоносных PowerShell-скриптов на взломанных машинах. По оценкам Sophos, эта активность связана с предыдущей кампанией той же группы, специализирующейся на вымогательском ПО.
CVE-2023-3519 представляет собой критическую уязвимость в продуктах NetScaler ADC и NetScaler Gateway, позволяющую злоумышленникам выполнять произвольный код. Она была обнаружена как активно эксплуатируемая в середине июля этого года.
18 июля Citrix выпустил обновления безопасности, однако даже спустя месяц более 31 тысячи устройств компании всё ещё оставались уязвимыми для атак. По данным Sophos, хакеры активно используют неспешность системных администраторов в обновлении ПО для распространения вредоносов и вымогательских программ.
Аналитики Sophos утверждают, что злоумышленники внедряют полезную нагрузку в файлы “wuauclt.exe” и “wmiprvse.exe” на взломанных системах. Кроме того, они используют специальные домены и IP-адреса для размещения и управления вредоносным ПО.
Схожие методы наблюдались Sophos в предыдущих кампаниях группы FIN8, что позволяет предположить причастность хакеров из этой группы. FIN8 ранее также была замечена в распространении вымогательского софта BlackCat.
Sophos опубликовал индикаторы компрометации для этой кампании на GitHub, чтобы помочь другим специалистам по безопасности обнаружить и остановить угрозу.
Если ваша компания использует программное обеспечение Citrix, самым правильным решением на текущий момент будет проверить, обновлено ли оно до последней версии. Если нет – стоит незамедлительно обновить его вручную.
Лишь своевременное реагирование и комплексный подход к безопасности помогут организациям минимизировать ущерб от подобных атак.