Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Fin8 атакует необновленные системы Citrix NetScaler

30/08/23

775_Blog_WhatisCitrixNetscaler_v2_Blog_1182x737

Группа хакеров, предположительно связанная с FIN8, использует критическую уязвимость CVE-2023-3519 в продуктах Citrix NetScaler для атак на необновленные системы по всему миру. Об этом сообщают исследователи Sophos, отслеживающие данную вредоносную кампанию с середины августа, пишет Securitylab.

Злоумышленники используют эксплойт для внедрения вредоносного ПО, развёртывания веб-оболочек и запуска вредоносных PowerShell-скриптов на взломанных машинах. По оценкам Sophos, эта активность связана с предыдущей кампанией той же группы, специализирующейся на вымогательском ПО.

CVE-2023-3519 представляет собой критическую уязвимость в продуктах NetScaler ADC и NetScaler Gateway, позволяющую злоумышленникам выполнять произвольный код. Она была обнаружена как активно эксплуатируемая в середине июля этого года.

18 июля Citrix выпустил обновления безопасности, однако даже спустя месяц более 31 тысячи устройств компании всё ещё оставались уязвимыми для атак. По данным Sophos, хакеры активно используют неспешность системных администраторов в обновлении ПО для распространения вредоносов и вымогательских программ.

Аналитики Sophos утверждают, что злоумышленники внедряют полезную нагрузку в файлы «wuauclt.exe» и «wmiprvse.exe» на взломанных системах. Кроме того, они используют специальные домены и IP-адреса для размещения и управления вредоносным ПО.

Схожие методы наблюдались Sophos в предыдущих кампаниях группы FIN8, что позволяет предположить причастность хакеров из этой группы. FIN8 ранее также была замечена в распространении вымогательского софта BlackCat.

Sophos опубликовал индикаторы компрометации для этой кампании на GitHub, чтобы помочь другим специалистам по безопасности обнаружить и остановить угрозу.

Если ваша компания использует программное обеспечение Citrix, самым правильным решением на текущий момент будет проверить, обновлено ли оно до последней версии. Если нет — стоит незамедлительно обновить его вручную.

Лишь своевременное реагирование и комплексный подход к безопасности помогут организациям минимизировать ущерб от подобных атак.

Темы:CitrixУгрозыSophosFin8
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...