چندین عامل تهدید از جمله باج‌افزارهای وابسته به LockBit به طور فعال از یک نقص امنیتی حیاتی اخیراً فاش شده در کنترل تحویل برنامه کاربردی Citrix NetScaler (ADC) و لوازم Gateway برای دستیابی به دسترسی اولیه به محیط‌های هدف استفاده می‌کنند[۱].

این مشاوره مشترک از سوی آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، دفتر تحقیقات فدرال (FBI)، مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) و مرکز امنیت سایبری اداره سیگنال های استرالیا (ASD’s ACSC) ارائه شده است.

این آژانس‌های در این باره گفتند[۲]: “Citrix Bleed که توسط شرکت‌های وابسته به LockBit 3.0 استفاده می‌شود، به عوامل تهدید اجازه می‌دهد تا الزامات رمز عبور و احراز هویت چندعاملی (MFA) را دور بزنند که منجر به ربودن موفقیت‌آمیز جلسات کاربر قانونی در کنترل تحویل برنامه وب Citrix NetScaler (ADC) و وسایل Gateway می‌شود.”

“از طریق تصاحب جلسات قانونی کاربر، عوامل مخرب مجوزهای بالایی برای جمع‌آوری اعتبار، حرکت جانبی و دسترسی به داده‌ها و منابع به دست می‌آورند.”

این آسیب‌پذیری که به‌عنوان CVE-2023-4966 (نمره ۴/۹ در مقیاسCVSS) دنبال می‌شود[۳]، ماه گذشته توسط Citrix مورد بررسی قرار گرفت، اما نه قبل از اینکه (حداقل از آگوست ۲۰۲۳) به عنوان یک روز صفر تسلیحاتی شود. نام رمز آن Citrix Bleed است.

اندکی پس از افشای عمومی، Mandiant متعلق به گوگل فاش کرد[۴] که در حال ردیابی چهار گروه مختلف دسته‌بندی نشده (UNC) است که در بهره‌برداری از CVE-2023-4966 برای هدف قراردادن چندین صنعت عمودی در قاره آمریکا، EMEA و APJ شرکت دارند.

آخرین عامل تهدید برای پیوستن به باند بهره‌برداری LockBit است که مشاهده شده است که از این نقص در اجرای اسکریپت‌های PowerShell و همچنین حذف ابزارهای مدیریت از راه دور و نظارت (RMM) مانند AnyDesk و Splashtop برای فعالیت‌های بعدی استفاده می‌کند.

این توسعه بار دیگر بر این واقعیت تأکید می‌کند که آسیب‌پذیری‌ها در سرویس‌های در معرض دید همچنان یک عامل ورودی اولیه برای حملات باج‌افزارها هستند.

این افشاگری زمانی صورت می‌گیرد که Check Point مطالعه مقایسه‌ای درباره حملات باج‌افزاری که ویندوز و لینوکس را هدف قرار می‌دهند منتشر کرد و اشاره کرد که اکثر خانواده‌هایی که به لینوکس نفوذ می‌کنند به‌شدت از کتابخانه OpenSSL همراه با الگوریتم‌های ChaCha20/RSA و AES/RSA استفاده می‌کنند.

مارک سالیناس فرناندز، محقق امنیتی، گفت[۵]: «باج‌افزارهای لینوکس به‌وضوح سازمان‌های متوسط و بزرگ را در مقایسه با تهدیدات ویندوز که ماهیت بسیار کلی‌تری دارند، هدف قرار می‌دهند.»

بررسی خانواده‌های مختلف باج‌افزار هدف‌گیری لینوکس «روند جالبی را به سمت ساده‌سازی آشکار می‌کند، جایی که عملکردهای اصلی آن‌ها اغلب به فرایندهای رمزگذاری اولیه کاهش می‌یابد و در نتیجه بقیه کار را به اسکریپت‌ها و ابزارهای سیستم قانونی واگذار می‌کند».

چک پوینت گفت که رویکرد مینیمالیستی نه‌تنها این خانواده‌های باج‌افزار را به‌شدت به پیکربندی‌ها و اسکریپت‌های خارجی وابسته می‌کند، بلکه فعالیت آنها را در زیر رادار آسان‌تر می‌کند.

  منابع

[۱] https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-496

[۲] https://www.cisa.gov/news-events/alerts/2023/11/21/cisa-fbi-ms-isac-and-asds-acsc-release-advisory-lockbit-affiliates-exploiting-citrix-bleed

[۳] https://thehackernews.com/2023/10/critical-citrix-netscaler-flaw.html

[۴] https://thehackernews.com/2023/10/alert-poc-exploits-released-for-citrix.html

[۵] https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks/

[۶] https://thehackernews.com/2023/11/lockbit-ransomware-exploiting-critical.html