Siber Muhbir

Ortak danışmanlık, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Avustralya Sinyal Müdürlüğü'nün Avustralya Siber Güvenlik Merkezi'nden (ASD'nin ACSC) geliyor.

Ajanslar, "LockBit 3.0 iştirakleri tarafından kullanıldığı bilinen Citrix Bleed, tehdit aktörlerinin parola gereksinimlerini ve çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanıyarak Citrix NetScaler web uygulaması teslim kontrolü (ADC) ve Ağ Geçidi cihazlarındaki meşru kullanıcı oturumlarının başarılı bir şekilde ele geçirilmesine yol açıyor" dedi.

"Kötü niyetli aktörler, meşru kullanıcı oturumlarının devralınması yoluyla kimlik bilgilerini toplamak, yanal olarak hareket etmek ve verilere ve kaynaklara erişmek için yükseltilmiş izinler elde ediyor."

CVE-2023-4966 (CVSS puanı: 9.4) olarak izlenen güvenlik açığı, Citrix tarafından geçen ay ele alındı, ancak en azından Ağustos 2023'ten bu yana sıfır gün olarak silah haline getirilmeden önce değil. Kod adı Citrix Bleed'dir.

Kamuya açıklamadan kısa bir süre sonra, Google'ın sahibi olduğu Mandiant, Amerika, EMEA ve APJ'deki çeşitli endüstri dikeylerini hedeflemek için CVE-2023-4966'dan yararlanmaya dahil olan dört farklı kategorize edilmemiş (UNC) grubu izlediğini açıkladı.

İstismar kervanına katılan en son tehdit aktörü, PowerShell komut dosyalarını yürütmek ve takip etkinlikleri için AnyDesk ve Splashtop gibi uzaktan yönetim ve izleme (RMM) araçlarını bırakmak için kusurdan yararlandığı gözlemlenen LockBit'tir.

Gelişme, açıkta kalan hizmetlerdeki güvenlik açıklarının fidye yazılımı saldırıları için birincil giriş vektörü olmaya devam ettiği gerçeğinin altını bir kez daha çiziyor.

Açıklama, Check Point'in Windows ve Linux'u hedef alan fidye yazılımı saldırılarının karşılaştırmalı bir çalışmasını yayınlamasıyla geldi ve Linux'a giren ailelerin çoğunun ChaCha20/RSA ve AES/RSA algoritmalarıyla birlikte OpenSSL kitaplığını yoğun bir şekilde kullandığını belirtti.

Güvenlik araştırmacısı Marc Salinas Fernandez, "Linux fidye yazılımı, doğası gereği çok daha genel olan Windows tehditlerine kıyasla açıkça orta ve büyük kuruluşları hedefliyor" dedi.

Çeşitli Linux hedefli fidye yazılımı ailelerinin incelenmesi, "temel işlevlerinin genellikle yalnızca temel şifreleme işlemlerine indirgendiği ve böylece işin geri kalanını komut dosyalarına ve meşru sistem araçlarına bıraktığı basitleştirmeye yönelik ilginç bir eğilim ortaya koyuyor."

Check Point, minimalist yaklaşımın bu fidye yazılımı ailelerini yalnızca harici yapılandırmalara ve komut dosyalarına büyük ölçüde bağımlı hale getirmekle kalmayıp, aynı zamanda radarın altında uçmalarını daha kolay hale getirdiğini söyledi.