Un acteur malveillant soupçonné d’être lié au groupe de piratage FIN8 exploite la faille d’exécution de code à distance CVE-2023-3519 pour compromettre les systèmes Citrix NetScaler non corrigés lors d’attaques à l’échelle du domaine.
Sophos surveille cette campagne depuis la mi-août et signale que l’acteur malveillant effectue des injections de charges utiles, utilise BlueVPS pour les déclarations de logiciels malveillants, déploie des scripts PowerShell obscurcis et dépose des webshells PHP sur les machines victimes.
Des ressemblances avec une autre attaque observées par les analystes de Sophos plus tôt cet été ont amené les analystes à en déduire que les deux activités sont liées, l’acteur menaçant étant spécialisé dans les attaques de ransomwares.
Attaques sur Citrix
CVE-2023-3519 est une faille d’injection de code de gravité critique (score CVSS : 9,8) dans Citrix NetScaler ADC et NetScaler Gateway, découverte comme un jour zéro activement exploité à la mi-juillet 2023.
Le fournisseur a publié des mises à jour de sécurité pour le problème le 18 juillet, mais il existait des preuves que les cybercriminels vendaient un exploit pour la faille depuis au moins le 6 juillet 2023.
Le 2 août, Shadowserver a signalé avoir découvert 640 webshells sur un nombre égal de serveurs Citrix compromis, et deux semaines plus tard, Fox-IT a porté ce nombre à 1 952.
À la mi-août, plus de 31 000 instances Citrix NetScaler restaient vulnérables au CVE-2023-3519, plus d’un mois après la mise à disposition de la mise à jour de sécurité, offrant ainsi aux acteurs malveillants de nombreuses opportunités d’attaques.
Sophos X-Ops signale désormais qu’un acteur menaçant qu’il suit sous le nom de « STAC4663 » exploite CVE-2023-3519, qui, selon les chercheurs, fait partie de la même campagne dont Fox-IT a parlé plus tôt ce mois-ci.
La charge utile livrée lors des récentes attaques, qui est injectée dans « wuauclt.exe » ou « wmiprvse.exe », est toujours en cours d’analyse. Néanmoins, Sophos estime qu’il fait partie d’une chaîne d’attaque de ransomware basée sur le profil de l’attaquant.
Sophos a déclaré à Breachtrace que la campagne est évaluée avec un degré de confiance modéré comme étant liée au groupe de piratage FIN8, qui a récemment été vu en train de déployer le ransomware BlackCat/ALPHV.
Cette hypothèse et la corrélation avec la campagne précédente de l’acteur du ransomware sont basées sur la découverte de domaine, plink, l’hébergement BlueVPS, les scripts PowerShell inhabituels et PuTTY Secure Copy [pscp].
Enfin, les attaquants utilisent une adresse IP C2 (45.66.248[.]189) pour le staging du malware et une seconde adresse IP C2 (85.239.53[.]49) répondant au même logiciel C2 que lors de la campagne précédente.
Sophos a publié une liste d’IoC (indicateurs de compromission) pour cette campagne sur GitHub afin d’aider les défenseurs à détecter et arrêter la menace.
Si vous n’avez pas appliqué les mises à jour de sécurité sur les appliances Citrix ADC et Gateway, suivez les actions recommandées dans le bulletin de sécurité du fournisseur.