Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Fin8 атакует необновленные системы Citrix NetScaler

30/08/23

775_Blog_WhatisCitrixNetscaler_v2_Blog_1182x737

Группа хакеров, предположительно связанная с FIN8, использует критическую уязвимость CVE-2023-3519 в продуктах Citrix NetScaler для атак на необновленные системы по всему миру. Об этом сообщают исследователи Sophos, отслеживающие данную вредоносную кампанию с середины августа, пишет Securitylab.

Злоумышленники используют эксплойт для внедрения вредоносного ПО, развёртывания веб-оболочек и запуска вредоносных PowerShell-скриптов на взломанных машинах. По оценкам Sophos, эта активность связана с предыдущей кампанией той же группы, специализирующейся на вымогательском ПО.

CVE-2023-3519 представляет собой критическую уязвимость в продуктах NetScaler ADC и NetScaler Gateway, позволяющую злоумышленникам выполнять произвольный код. Она была обнаружена как активно эксплуатируемая в середине июля этого года.

18 июля Citrix выпустил обновления безопасности, однако даже спустя месяц более 31 тысячи устройств компании всё ещё оставались уязвимыми для атак. По данным Sophos, хакеры активно используют неспешность системных администраторов в обновлении ПО для распространения вредоносов и вымогательских программ.

Аналитики Sophos утверждают, что злоумышленники внедряют полезную нагрузку в файлы «wuauclt.exe» и «wmiprvse.exe» на взломанных системах. Кроме того, они используют специальные домены и IP-адреса для размещения и управления вредоносным ПО.

Схожие методы наблюдались Sophos в предыдущих кампаниях группы FIN8, что позволяет предположить причастность хакеров из этой группы. FIN8 ранее также была замечена в распространении вымогательского софта BlackCat.

Sophos опубликовал индикаторы компрометации для этой кампании на GitHub, чтобы помочь другим специалистам по безопасности обнаружить и остановить угрозу.

Если ваша компания использует программное обеспечение Citrix, самым правильным решением на текущий момент будет проверить, обновлено ли оно до последней версии. Если нет — стоит незамедлительно обновить его вручную.

Лишь своевременное реагирование и комплексный подход к безопасности помогут организациям минимизировать ущерб от подобных атак.

Темы:CitrixУгрозыSophosFin8
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...