Угрозы используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и Азиатско-Тихоокеанском регионе.
Исследователи из Mandiant сообщают о четырех текущих кампаниях, направленных на уязвимые устройства Citrix NetScaler ADC и Gateway, причем атаки продолжаются с конца августа 2023 года.
Компания, занимающаяся вопросами безопасности, отмечает активность после эксплуатации, связанную с кражей учетных данных и боковым перемещением, и предупреждает, что эксплуатация оставляет после себя ограниченное количество криминалистических доказательств, что делает эти атаки особенно скрытными.
Кровотечение Citrix
Уязвимость Citrix Bleed CVE-2023-4966 была раскрыта 10 октября как критический дефект, затрагивающий Citrix NetScaler ADC и NetScaler Gateway и позволяющий получить доступ к конфиденциальной информации на этих устройствах.
Через неделю после появления исправления компания Mandiant сообщила, что дефект, который хакеры использовали для перехвата существующих аутентифицированных сессий и обхода многофакторной защиты, является "нулевым днем", который активно эксплуатируется с конца августа.
Злоумышленники использовали специально созданные HTTP GET-запросы, чтобы заставить устройство вернуть содержимое системной памяти, которое включает в себя действительные сессионные cookie Netscaler AAA, созданные после аутентификации и после проверки MFA.
Хакеры, похитившие эти аутентификационные cookie, могут получить доступ к устройству без повторной проверки MFA.
Вслед за этим Citrix направила администраторам второе предупреждение, призывая их защитить свои системы от продолжающихся атак, которые не требуют вмешательства пользователя и имеют невысокую сложность.
25 октября исследователи AssetNote опубликовали эксплойт proof-of-concept (PoC), демонстрирующий способ перехвата учетной записи NetScaler через кражу токена сессии.
Продолжающиеся атаки
Компания Mandiant поясняет, что отсутствие протоколирования на устройствах делает расследование эксплуатации CVE-2023-3966 сложным, поэтому для регистрации трафика и определения факта эксплуатации устройства требуются брандмауэры веб-приложений (WAF) и другие устройства мониторинга сетевого трафика.
Если сеть не использует такой мониторинг до атаки, это не позволяет проводить исторический анализ и ограничивает исследователей наблюдениями в реальном времени.
Даже после атаки злоумышленники остаются незаметными, используя "живые" методы и обычные административные инструменты, такие как net.exe и netscan.exe, чтобы не мешать повседневной работе.
Mandiant удалось выявить попытки эксплуатации и перехвата сеансов по одному из следующих путей:
- Анализ запросов WAF: Запросы к уязвимой конечной точке могут регистрироваться средствами WAF.
- Мониторинг шаблонов входа в систему: несовпадение IP-адресов клиента и источника, а также множественные сессии с одного и того же IP-адреса, записанные в файлах ns.log, являются признаками потенциального несанкционированного доступа.
- Корреляция реестра Windows : Корреляция записей реестра Windows на системах Citrix VDA с данными ns.log позволяет проследить происхождение злоумышленника.
- Проверка дампа памяти : Дамп-файлы ядра памяти процессов NSPPE могут быть проанализированы на предмет наличия необычно длинных строк, содержащих повторяющиеся символы, что может свидетельствовать о попытках эксплуатации.
Цели атаки
После эксплуатации CVE-2023-4966 злоумышленники занимались разведкой сети, кражей учетных данных и перемещением по RDP.
На этом этапе атакующие использовали следующие инструменты:
- net.exe - разведка Active Directory (AD)
- netscan.exe - перечисление внутренней сети.
- 7-zip - создание зашифрованного сегментированного архива для сжатия данных разведки
- certutil - кодирование (base64) и декодирование файлов данных и развертывание бэкдоров
- e.exe и d.dll - загрузка в память процесса LSASS и создание файлов дампа памяти
- sh3.exe - запуск команды Mimikatz LSADUMP для извлечения учетных данных
- FREEFIRE - новый легкий .NET-бэкдор, использующий Slack для управления и контроля.
- Atera - удаленный мониторинг и управление
- AnyDesk - удаленный рабочий стол
- SplashTop - удаленный рабочий стол
Несмотря на то что многие из перечисленных выше инструментов часто встречаются в корпоративных средах, их совместное развертывание может быть признаком компрометации, а такие инструменты, как FREEFIRE, являются явным свидетельством взлома.
Исследователи выпустили правило Yara, которое может быть использовано для обнаружения FREE FIRE на устройстве.
По данным Mandiant, четыре угрожающих субъекта, эксплуатирующих CVE-2023-4966 в различных кампаниях, демонстрируют некоторое совпадение на этапе постэксплуатации.
Все четверо активно использовали csvde.exe, certutil.exe, local.exe и nbtscan.exe, а в двух кластерах активности был замечен Mimikatz.
Применение доступных обновлений безопасности не устраняет существующие бреши, поэтому требуется полноценное реагирование на инцидент.
Рекомендации по восстановлению системы можно найти в руководстве Mandiant по устранению последствий.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
