10月上旬Citrix修补NetScaler重大漏洞CitrixBleed(CVE-2023-4966),随后陆续资安业者Mandiant揭露,至少4组人马将其用于攻击行动,但并未透露受害对象。如今传出有企业因没有修补漏洞而遭遇勒索软体攻击,使得业务受到严重影响。
在上周中国工商银行(ICBC)美国子公司发生的勒索软体攻击事故,就是这样的例子,有资安专家发现,骇客在事发数日前入侵了NetScaler伺服器,而能够存取该公司的网路环境。
【攻击与威胁】
而对于这起事故发生的原因,资安专家Kevin Beaumont透露,骇客很可能是针对该公司的Citrix Netscaler系统下手,利用CitrixBleed漏洞(CVE-2023-4966,CVSS风险评分为9.4)入侵网路环境,此伺服器在6日之后就处于离线状态。
资料来源
而对于攻击者的身分,俄罗斯骇客组织Anonymous Sudan声称是他们所为,但没有说明下手的动机。这并非近期该组织首度针对大型IT业者下手,11月8日OpenAI遭到攻击,导致旗下ChatGPT及API服务中断超过一天。
资安业者Huntress揭露针对医疗产业而来的攻击行动,攻击者滥用名为ScreenConnect的远端桌面连线(RDP)工具,于10月28日至11月8日这段期间,他们发现针对制药厂、医疗保健机构的攻击行动。
这些事故存在共通的攻击战术及手法,骇客于执行Windows Server 2019的伺服器上,透过美国药品管理系统供应商Outcomes(原Transaction Data Systems)建置的ScreenConnect入侵,成功后骇客再部署自己的ScreenConnect或AnyDesk用户端程式,以便持续控制受害主机。
接者,攻击者下载名为text.xml的恶意酬载,此XML档案内含C#程式码,主要功能是将Metasploit延伸模组Meterpreter载入记忆体内执行,接著,滥用列印多工缓冲处理器(Print Spooler)服务执行其他处理程序。但究竟骇客如何入侵Outcomes建置的ScreenConnect系统?研究人员表示仍不得而知。
值得留意的是,为了降低使用者戒心,骇客并非架设冒牌的CPU-Z网站,而是伪造专门报导Windows新闻的网站Windows Report,以该新闻网站的名义提供下载。【资安产业动态】