CISA 警告称,一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标,并已将该漏洞添加到其已知的已知安全漏洞目录中。
Citrix ShareFile(也称为 Citrix Content Collaboration)是一种托管文件传输 SaaS 云存储解决方案,允许客户和员工安全地上传和下载文件。
该服务还提供“存储区域控制器”解决方案,允许企业客户配置其私有数据存储来托管文件,无论是在本地还是在受支持的云平台(例如 Amazon S3 和 Windows Azure)上。
2023 年 6 月 13 日,Citrix 发布了关于新的 ShareFile 存储区域漏洞的安全公告,该漏洞的编号为 CVE-2023-24489,严重程度评分为 9.8/10,该漏洞可能允许未经身份验证的攻击者破坏客户管理的存储区域。
Citrix 解释说:“在客户管理的 ShareFile 存储区域控制器中发现了一个漏洞,如果被利用,未经身份验证的攻击者可能会远程破坏客户管理的 ShareFile 存储区域控制器。”
网络安全公司 AssetNote 向 Citrix 披露了该漏洞,并在一份 技术文章中警告称 ,该漏洞是由 ShareFile 实施 AES 加密时的一些小错误引起的。
AssetNote 研究人员解释说:“通过我们的研究,我们能够通过利用看似无害的加密错误来实现未经身份验证的任意文件上传和完全远程代码执行。”
利用此缺陷,威胁参与者可以将 Web shell 上传到设备,以获得对存储及其所有文件的完全访问权限。
CISA警告说,威胁行为者通常会利用这些类型的缺陷,并对联邦企业构成重大风险。
尽管 CISA 在许多建议中都发出了同样的警告,但影响托管文件传输 (MFT) 解决方案的缺陷尤其令人担忧,因为威胁行为者在勒索攻击中大量利用它们来窃取公司的数据。
一种名为 Clop 的勒索软件操作对针对此类缺陷特别感兴趣,自 2021 年以来,他们利用 Accellion FTA 解决方案中的零日缺陷进行大规模数据盗窃攻击。
从那时起,Clop 利用SolarWinds Serv-U、 GoAnywhere MFT中的零日缺陷进行了多次数据盗窃活动 ,最近还 对 MOVEit Transfer 服务器进行了大规模攻击。
作为 AssetNote 技术文章的一部分,研究人员向威胁参与者分享了足够的信息,以开发针对 Citrix ShareFile CVE-2023-24489 缺陷的漏洞。不久之后,其他研究人员在 GitHub 上发布了他们自己的漏洞利用程序。
7 月 26 日,GreyNoise 开始监控利用该漏洞的尝试。在 CISA 今天警告该漏洞后,GreyNoise 更新了报告,称不同 IP 地址的尝试次数显着增加。
GreyNoise 警告称:“CISA 将 CVE-2023-24489 添加到其已知利用的漏洞目录当天, GreyNoise观察到攻击者活动显着激增 。 ”
目前,GreyNoise 已发现 72 个 IP 地址试图利用或检查 ShareFile 服务器是否容易受到攻击,其中大多数来自韩国以及芬兰、英国和美国的其他国家。
虽然没有公开已知的利用或数据盗窃与此缺陷相关,但 CISA 现在要求联邦民事行政部门 (FCEB) 机构在 2023 年 9 月 6 日之前针对此错误应用补丁。
然而,由于这些错误的高度针对性,强烈建议所有组织尽快应用更新
Anonfiles 是一项流行的匿名共享文件服务,在表示无法再应对用户的大量滥用后已关闭。
Anonfiles 是一个匿名文件共享网站,允许人们匿名共享文件,而无需记录其活动。
然而,它很快成为威胁行为者最流行的文件共享服务之一,用于共享被盗数据、 被盗凭证和受版权保护的材料的样本。
五天前,Anonfiles 用户 开始报告 该服务在尝试上传文件时会超时。
正如网络安全研究人员g0njxa发现的那样 ,Anonfiles 运营商现已关闭该服务,并表示他们的代理提供商最近关闭了他们,并且他们无法再处理上传到该网站的大量滥用材料。
Anonfiles 网站上的声明全文转载如下:
“两年来无休止地尝试运行一个用户匿名的文件共享网站,我们已经厌倦了处理大量的滥用它的人以及它给我们带来的麻烦。也许这很难理解,但经过数千万次上传
之后许多 PB 之后,所有处理滥用行为的工作都通过所有可用渠道自动化,以尽可能快。
我们自动禁止了数十万个文件的内容。
禁止文件名,还禁止与滥用材料相关的特定使用模式,以至于我们不在乎我们是否在这个过程中意外删除了数千个误报。
即使在这之后,大量的滥用也不会停止。
这不是我们在获取它时想象的那种工作,最近我们的代理提供商关闭了我们。
这不能再继续下去了。
域名 4 销售。
域名@anonfiles.com"
虽然 Anonfiles 对许多人来说是一个有用的文件共享网站,但其他用户报告 [ 1,2,3 ] 该网站使用可疑的广告商,这些广告商 通常会重定向恶意软件、技术支持诈骗 以及不需要的 Google Chrome 和 Firefox 浏览器扩展。
例如,当尝试从 Anonfiles 下载文件时,用户表示您通常会首先被重定向到一个 下载 ISO 文件的网站 ,该文件的名称与您认为正在下载的文件同名。
然而,这些 ISO 文件包含各种恶意软件,包括信息窃取恶意软件、远程访问木马和广告点击器。
2021 年,CronUp 研究员 Germán Fernández 警告称,Anonfiles 恶意广告正在 推动 RedLine Stealer 恶意软件,这是一种臭名昭著的信息窃取恶意软件,可窃取您的凭据和加密货币钱包。
Fernández 和 Malwarebytes在 Anonfiles 上发现的其他恶意广告活动包括 搜索劫持扩展、Amadey 僵尸网络、Vidar 窃取程序,甚至 STOP 勒索软件。
Anonfiles 运营商现在正在寻找有人购买他们的域名,可能会推出他们自己的文件共享服务。
然而,在此期间,关闭将导致网络安全研究人员和威胁行为者使用的许多文件不再可用。
据观察,网络钓鱼活动主要针对美国一家著名能源公司,利用二维码将恶意电子邮件放入收件箱并绕过安全措施。
此次攻击活动引发的 1,000 封电子邮件中,大约有三分之一 (29%) 针对一家大型美国能源公司,而其余尝试针对的是制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务(6%)。
据发现该活动的 Cofense 称,这是首次如此大规模地使用二维码,这表明更多的网络钓鱼行为者可能正在测试其作为攻击媒介的有效性。
科芬斯没有透露此次活动针对的能源公司的名称,但将其归类为一家“大型”美国公司。
Cofense 表示,攻击始于 一封网络钓鱼电子邮件,声称收件人必须采取行动更新其 Microsoft 365 帐户设置。
这些电子邮件带有带有二维码的 PNG 或 PDF 附件,系统会提示收件人扫描以验证其帐户。电子邮件还指出,目标必须在 2-3 天内完成此步骤,以增加紧迫感。
威胁行为者使用图像中嵌入的二维码来绕过扫描邮件中已知恶意链接的电子邮件安全工具,从而使网络钓鱼邮件能够到达目标的收件箱。
为了规避安全,该活动中的二维码还使用 Bing、Salesforce 和 Cloudflare 的 Web3 服务中的重定向,将目标重定向到 Microsoft 365 网络钓鱼页面。
在二维码中隐藏重定向 URL、滥用合法服务以及对网络钓鱼链接使用 Base64 编码都有助于逃避检测并通过电子邮件保护过滤器。
过去,二维码曾被用于网络钓鱼活动,尽管规模较小,其中包括法国的一次和德国的一次。
诈骗者 还利用二维码 诱骗人们扫描二维码,并将其重定向到试图窃取钱财的恶意网站。
2022 年 1 月, FBI 警告称 ,网络犯罪分子越来越多地使用二维码窃取凭证和财务信息。
尽管 QR 码可以有效绕过保护,但它仍然需要受害者采取行动才能受到损害,这是一个有利于训练有素的人员的决定性缓解因素。
此外,现代智能手机上的大多数二维码扫描仪都会要求用户在启动浏览器之前验证目标 URL,作为保护步骤。
除了培训之外,Cofense 还建议组织使用图像识别工具作为网络钓鱼防护措施的一部分,尽管这些工具并不能保证捕获所有二维码威胁。
研究人员发现了一项大规模活动,该活动向至少 400,000 个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点,并且一家公司正在对通过这些机器运行的代理流量进行收费。
住宅代理对于网络犯罪分子来说很有价值,因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的,例如广告验证、数据抓取、网站测试或增强隐私的重新路由。
一些代理公司出售住宅代理的访问权限,并向同意共享带宽的用户提供金钱奖励。
AT&T Alien Labs 在今天的一份报告中表示,这个拥有 400,000 个节点的代理网络是通过使用传递代理应用程序的恶意负载构建的。
尽管僵尸网络背后的公司声称用户已同意,但研究人员发现代理悄悄地安装在设备上。
AT&T Alien Labs表示:“尽管代理网站声称其退出节点仅来自已被告知并同意使用其设备的用户,但 Alien Labs 有证据表明恶意软件编写者正在受感染的系统中悄悄安装代理。”
研究人员补充说:“此外,由于代理应用程序已签名,因此没有防病毒检测,因此受到安全公司的关注。”
该公司控制了由名为 AdLoad 的恶意负载创建的出口节点,该负载针对 macOS 系统,AT&T上周报告了这一情况。
事实上,两个基于 Go 的二进制文件(适用于 macOS 和 Windows)似乎源自相同的源代码,但是,Windows 代理客户端由于使用有效的数字签名而逃避了防病毒检测。
感染从隐藏在破解软件和游戏中的加载程序的执行开始,该加载程序会在后台自动下载并安装代理应用程序,无需用户交互。
恶意软件作者使用带有特定参数的 Inno Setup,隐藏安装过程的任何指示符和所有典型的用户提示。
在安装代理客户端期间,恶意软件会发送特定参数,这些参数也会转发到命令和控制(C2)服务器,以便新客户端可以注册并合并到僵尸网络中。
代理客户端在受感染的系统上建立持久性,方法是创建一个注册表项以在系统启动时激活它,并添加一个计划任务来检查新的客户端更新。
AT&T 报告解释说:“然后,代理不断从机器收集重要信息,以确保最佳性能和响应能力。”
“这包括从进程列表和监控 CPU 到内存利用率,甚至跟踪电池状态的所有内容。”
AT&T 建议在“%AppData%\”中查找“Digital Pulse”可执行文件,或在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\”中查找类似名称的注册表项。如果存在的话,研究人员建议将其移除。
该计划任务的名称是“DigitalPulseUpdateTask”,也应该删除,以消除客户端更新机制重新引入感染的机会。
最后,避免下载盗版软件和运行来自可疑位置的可执行文件,例如点对点网络或免费提供高级软件的网站。
代理软件感染的迹象包括性能和互联网速度下降、意外的网络流量模式、与未知 IP 或域的频繁通信以及系统警报。
美国财政部税务监察长 (TIGTA) 在最近的一份报告中发现,由于人员短缺等原因,美国国税局 (IRS) 近年来未能及时审查近 75% 的 IT 安全漏洞。
“及时识别和解决信息安全弱点是健全信息安全计划的主要基石,”TIGTA 8 月 9 日的报告称。“2014 年联邦信息安全现代化法案 (FISMA) 要求所有联邦机构制定并实施纠正行动计划,称为行动计划和里程碑 (POA&M),以识别和记录信息技术安全弱点的解决方案。”
2005 年 1 月 1 日至 2022 年 8 月 26 日期间,IRS 创建了 12,089 个 POA&M。其中 2,555 个仍保持开放状态,并仍在继续努力。
TIGTA 选择了 401 个 POA&M 的判断样本进行分析。监管机构发现,IRS 没有对 TIGTA 分析的 401 POA&M 样本中的 73% 进行及时审查。
TIGTA 发现,在整个机构范围内,有超过 500 个 POA&M 被归类为晚期,其中 23 个 POA&M 的风险严重程度评级为严重或高。在这 23 个中,有 4 个 POA&M 于 2017 年首次发现了安全漏洞。
“国税局必须报告已发现的信息安全漏洞并记录补救措施。如果未能及时审查、跟踪和关闭 POA&M 来解决信息安全漏洞,国税局将面临被威胁行为者利用的风险,”该监管机构表示。“此外,跟踪解决 POA&M 所需的相关资源有助于做出明智的决策。”
该报告指出了国税局未能及时识别并应对其安全弱点的三个原因:人员短缺;未能一致报告所需的 POA&M 信息;未能准确识别和跟踪解决信息安全弱点所需的资源。
TIGTA 建议 IRS 首席信息官 (CIO):
美国国税局同意所有四项建议。
“美国国税局致力于全面有效地解决信息技术安全弱点。我们同意报告草案中的建议和成果措施。我们计划在 2024 年 5 月 15 日之前完成所有纠正措施的实施,”IRS 代理首席信息官 Kaschit Pandya 在回应 TIGTA 的报告时写道。
“我们正在采取一系列步骤,包括但不限于优先考虑与此流程相关的人员配置和其他资源分配,并加强与所有机构 POA&M 利益相关者的沟通,以明确补救措施的期望和最佳实践,”Pandya 继续说道。“我们希望这些努力将有助于降低风险,确保系统完整性,并最大限度地提高纳税人的系统可用性。
针对教育机构的勒索软件攻击造成的不仅仅是课堂混乱。它可能会导致教学时间损失、财务紧张和个人数据泄露。在 K-12 系统中,关闭的学校迫使家长要求休假,并导致学校有限的财务捉襟见肘。
对于大学生来说,勒索软件攻击可能会导致学生在开始职业生涯时个人数据被盗。
勒索软件攻击的数量惊人地增加, 2018 年至2021 年期间报告的 K-12 事件已从 2018 年的 400 起增加到累计超过 1,300 起,我们不需要走太远就能看到它们如何损害了教育部门。
杜鲁门州立大学最近遭受勒索软件攻击,导致该大学关闭数天,并导致外部安全团队参与其中。在宾夕法尼亚州,彭克雷斯特学区发现自己成为勒索软件攻击的目标,导致多天无法上网,学校日常活动中断,影响了当地家庭。
我们将探讨教育机构的 IT 团队可以采取哪些步骤(地方政府应该支持),以保护他们所照顾的人员免受干扰和数据被盗的影响。
一旦勒索软件攻击开始,采取任何措施通常都为时已晚。令人警醒的现实是,使用 Lockbit 2.0,数百 GB 的数据可在 5 分钟内加密,而且速度只会越来越快。组织通常有两个糟糕的选择。
第一个(也是不推荐的)选项是支付赎金,然后希望网络犯罪分子解密您的系统,不要出售您的数据,也不要再次遭受攻击。
或者,您需要从头开始重建 IT 系统,考虑到许多学校和大学的 IT 部门通常规模较小,这可能既昂贵又耗时。
首先采取安全措施来防止攻击是最好的防御,IT 可以监视多种攻击媒介以发出早期预警。许多攻击者会选择阻力最小的路径,而监控最简单的路径会使威胁行为者的工作变得更加困难。
尽管并不全面,但以下几个方面需要考虑密切监控:
登录比黑客入侵更容易。攻击者可以快速利用受损的密码,尤其是当人们在多个个人和工作帐户中重复使用这些密码时。例如,威胁行为者可以购买受损凭证列表,然后使用社交媒体来缩小在学校工作的人员范围。
实施多因素身份验证的机构使这种攻击变得更加困难,但并非不可能。
具有泄露密码保护 (BPP) 功能的Specops 密码策略等工具可根据不断更新的超过 30 亿个唯一泄露密码列表(甚至是目前用于攻击的密码)来检查机构的 Active Directory。这使得 IT 团队能够关闭数百条可能进入其机构的攻击路线。
由于成本效益高、实施速度快且易于最终用户使用,具有密码泄露保护功能的 Specops 密码策略深受学校、大学和地方政府的欢迎。
它允许机构创建自定义密码策略、强制执行合规性要求、阻止密码泄露,并通过动态、信息丰富的客户反馈帮助用户在 Active Directory 中创建更强的密码。很少有解决方案能够提供如此简单的方法来增强密码安全性并防止攻击者站稳脚跟并发起勒索软件攻击。
开放的远程连接是一个等待利用的漏洞。2022 年 Unit 42 事件响应报告指出,RDP 是一个共同目标。任何学校、大学或地方政府都需要使用 VPN 或零信任身份验证网关来远程连接到内部系统。
如果未修补并暴露在互联网上,即使是学校打印服务器也是不安全的。例如,最近的PaperCut NG 和 PaperCut MF 漏洞导致 Bl00dy 勒索软件团伙的勒索软件攻击增加。
将保护重点放在不会暴露超出必要范围的额外入口的系统上,从而将威胁行为者拒之门外。最大限度地减少需要监控的外部服务数量,使学校 IT 部门的工作变得易于管理。
过度劳累的学校 IT 部门经常会出现旧帐户、被遗忘的用户以及特权过高的服务帐户。这些被遗忘的帐户可能看起来无害,但对于威胁行为者来说,它们却是一个诱人的目标。
如果不引起注意,旧帐户的泄露可能不会触发响应,因为所有者可能早已不在了。从加入到退出实施适当的用户生命周期策略可以防止旧帐户受到潜在的威胁。
同样,几乎每个 IT 组织都普遍存在特权过高的帐户。创建单个特权帐户来运行多个服务可能意味着更少的工作和监控。但是,当受到威胁时,特权过高的服务帐户可以为学校或大学网络提供许多立足点。
通过最小特权访问和职责分离的概念来“调整”帐户规模,受损帐户在整个网络上造成破坏的可能性要小得多。
即使是最好的预防策略也可能无法阻止顽固的对手向毫无戒心的学生或 IT 管理员偷偷发送带有可执行勒索软件的网络钓鱼电子邮件。下载后,未受保护的端点可能会提供在整个学校网络中传播勒索软件所需的一切。
以下是强化 Windows 端点时要采取的几个常见步骤:
防止端点进一步受到损害可以快速阻止勒索软件攻击。这种预防措施避免了从备份恢复系统的需要。
如果最坏的情况发生,并且勒索软件攻击导致学校网络瘫痪,那么最新的离线存储备份对于让学生重返教室至关重要。
通过保持备份离线、分段或“气隙”,成功的勒索软件攻击不会影响那些允许干净恢复的备份。
备份整个机构可能很困难,并且会产生大量存储成本。然而,不这样做的代价可能会更高,因为威胁行为者可能会要求数百万美元进行恢复。
IT 管理员必须不断测试备份、验证恢复程序是否到位,并评估在发生事件时做好完整恢复准备的难度。
FBI(联邦调查局)、 CISA 和 MS-ISAC 在联合网络安全咨询 (CSA) 中警告 Vice Society 及其对教育部门构成的威胁:
“网络安全能力有限且资源有限的学区往往是最脆弱的;然而,网络犯罪分子经常采取的机会主义目标仍然可能使拥有强大网络安全计划的学区面临风险。 由于可以通过学校系统或其托管服务提供商访问大量 敏感的学生数据,K-12 机构可能被视为利润特别丰厚的目标。”
对于学校及其学生来说,勒索软件是一个日益严重且代价高昂的问题。地方政府可以通过资助适当的安全工具和技术来检测、预防和缓解勒索软件,从而为学校和大学提供支持。
尽管没有万无一失的方法可以防止每次勒索软件攻击,但包含上述步骤的全面安全计划将阻止大多数攻击,并在预防方面大有帮助。
Mandiant 发布了一款扫描器,用于检查 Citrix NetScaler 应用程序交付控制器 (ADC) 或 NetScaler Gateway 设备是否在利用 CVE-2023-3519 漏洞的广泛攻击中受到损害。
关键的 CVE-2023-3519 Citrix 漏洞于 2023 年 7 月中旬作为零日漏洞被发现,黑客积极利用该漏洞远程执行代码,而无需在易受攻击的设备上进行身份验证。
Citrix 进行安全更新以解决该问题一周后, Shadowserver 报告 称仍有 15,000 台暴露在互联网上的设备尚未应用补丁。
然而,即使对于安装了安全更新的组织来说,被攻击的风险仍然存在,因为该补丁不会删除攻击者在攻击后阶段植入的恶意软件、后门和 Webshell。
今天,Mandiant 发布了一款扫描仪,使组织能够检查其 Citrix ADC 和 Citrix Gateway 设备是否存在受损迹象和利用后活动。
Mandiant 的帖子中写道:“该工具旨在尽最大努力识别现有的妥协 。 ”
“它不会 100% 地识别出威胁,也不会告诉您设备是否容易受到攻击。”
Mandiant Ctrix IOC 扫描程序必须直接在设备或已安装的取证映像上运行,因为它将扫描本地文件系统和配置文件以查找是否存在各种 IOC。
完成后,扫描仪将显示一个摘要,详细说明是否遇到任何妥协迹象,如下所示。
如果检测到设备受到损害,扫描仪将显示详细的报告,列出检测到的各种损害指标。
下面列出了扫描器在 Citrix 设备上查找的一些 妥协指标:
如果扫描仪显示出妥协的迹象,建议对受影响的设备和网络部分进行完整的取证检查,以评估违规的范围和程度,这需要一套不同的工具。
值得注意的是,负面结果不应被视为系统没有受到损害的保证,因为攻击者仍然有很多方法来隐藏他们的痕迹,并且在许多情况下,有足够的时间来这样做。
建议在随时运行易受攻击的固件版本的同时,在所有暴露于互联网的设备上运行扫描仪。
该扫描仪设计为与 Citrix ADC 和 Citrix Gateway 版本 12.0、12.1、13.0 和 13.1 配合使用。
Raccoon Stealer 信息窃取恶意软件的开发人员结束了 6 个月的黑客论坛中断,向网络犯罪分子推广该恶意软件的新 2.3.0 版本。
Raccoon 是最知名、最广泛使用的信息窃取恶意软件家族之一,自 2019 年以来一直存在,通过订阅模式以每月 200 美元的价格出售给威胁行为者。
该恶意软件从 60 多个应用程序窃取数据,包括登录凭据、信用卡信息、浏览历史记录、cookie 和加密货币钱包帐户。
该项目于 2022 年 10 月进入了一个不确定时期,当时其主要作者马克·索科洛夫斯基 (Mark Sokolovsky) 在荷兰被捕,联邦调查局 (FBI) 拆除了当时的恶意软件即服务基础设施。
在VX-Underground首次发现的黑客论坛上的一篇新帖子中 ,该恶意软件的当前作者告诉网络犯罪社区,他们已经回来了,他们花了时间“不知疲倦地工作”,为他们带来了丰富用户体验的新功能。
这些新功能是在“客户”反馈、请求和网络犯罪趋势之后实施的,旨在使恶意软件保持在信息窃取者市场的顶级地位。
Cyberint 的一份 报告 称,Raccoon 2.3.0 引入了多项“生活质量”和 OpSec 改进,使其使用起来更容易、更安全,使得技术水平较低的威胁行为者更容易使用,并且研究人员追踪他们的可能性更小和执法。
首先,Raccoon Stealer 仪表板中的新快速搜索工具使黑客能够轻松找到特定的被盗数据,并从大量数据集中检索凭证、文档或其他被盗数据。
其次,新的 Raccoon 版本具有一个系统,可以对抗可能与安全辅助机器人相关的可疑活动,例如从同一 IP 生成的多个访问事件。
在这些情况下,Raccoon 将自动删除相应的记录并相应更新所有客户端垫。
用户现在可以直接从恶意软件的仪表板查看每个 IP 地址的活动配置文件分数,其中绿色、黄色和红色笑脸图标表示机器人活动的概率。
第三个重要的新功能是针对安全研究人员的保护措施,它是一个报告系统,该系统可以检测并阻止网络情报公司用来监控 Raccoon 流量的爬虫和机器人使用的 IP。
信息窃取者对家庭用户和企业都构成了巨大的威胁,因为它们被网络犯罪社区广泛采用,确保有效负载通过无数渠道到达大量不同的受众。
由于此类恶意软件不仅窃取凭据,还窃取 cookie,因此威胁行为者可能会利用这些被盗的会话 cookie 来绕过多因素身份验证并破坏企业网络。一旦他们在网络上建立立足点,就可能导致各种攻击,包括数据盗窃、勒索软件、BEC 诈骗和网络间谍活动。
为了防止 Raccoon Stealer 和所有信息窃取者,应使用密码管理器,而不是在浏览器上存储凭据。
此外,应在所有帐户上启用多重身份验证,并避免从可疑网站下载可执行文件,即使是从 Google Ads、YouTube 视频或 Facebook 帖子等合法来源重定向到那里。
威胁行为者利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行,在一场大规模活动中入侵了近 2,000,000 台 Citrix NetScaler 服务器。
研究人员表示,在管理员安装该漏洞补丁之前,已有 1,200 多台服务器被植入后门,并且由于没有检查是否有成功利用的迹象,因此它们继续受到损害。
网络安全公司 Fox-IT(NCC 集团旗下)和荷兰漏洞披露研究所 (DIVD) 的安全研究人员发现了一项大规模活动,该活动在易受 CVE-2023-3519 影响的 Citrix Netscaler 服务器上植入了 Webshell。
尽管该漏洞于 7 月 18 日收到了补丁,但黑客开始 在野外利用它作为零日漏洞, 在未经身份验证的情况下执行代码。
7 月 21 日,网络安全和基础设施安全局 (CISA) 警告称,该漏洞已被利用 破坏了 美国的一个关键基础设施组织
本月早些时候,非营利组织 Shadowserver Foundation 发现黑客已 感染了 640 多台 Citrix NetScaler 服务器 ,并植入了用于远程访问和持久性的 Web shell。
在过去的两个月里,Fox-IT 响应了多起与 CVE-2023-3519 漏洞利用相关的事件,并发现服务器受到多个 Web shell 的攻击。
利用有关后门的详细信息,Fox-IT 和 DIVD 能够扫描互联网以查找安装了 Web shell 的设备。管理员可以通过检查用户代理的 Citrix HTTP 访问日志来识别其扫描:DIVD-2023-00033。
最初,扫描仅考虑易受攻击的系统,但后来扩展到收到更新以解决 CVE-2023-3519 问题的 Citrix 实例。
这表明 1,952 台 NetScaler 服务器带有 Fox-IT 在事件响应期间发现的相同 Web shell 后门,表明攻击者使用自动化方法大规模利用该漏洞。
在更大范围内,当该活动活跃时,全球范围内易受 CVE-2023-3519 影响的 31,127 个 Citrix NetScaler 实例中,有 1,952 个后门服务器占 6% 以上。
Fox-IT 表示,在已发现的受感染服务器中,截至 8 月 14 日,仍有 1,828 台服务器存在后门,其中 1,247 台服务器在黑客植入 Web shell 后已得到修补。
8 月 10 日,Fox-IT 和 DIVD 开始直接或通过国家 CERT 与组织联系,了解其网络上受感染的 NetScaler 实例。
昨天,受感染的 Citrix NetScaler 服务器(无论是已打补丁还是未打补丁)的数量最多的是德国,其次是法国和瑞士。
Fox-IT 表示,欧洲受影响最严重,并强调在受影响最大的 10 个国家中,只有两个国家来自世界不同地区。
研究人员观察到的另一个细节是,虽然加拿大、俄罗斯和美国在 7 月 21 日拥有数千台易受攻击的 NetScaler 服务器,但他们几乎没有在其中发现任何受攻击的 Web shell。
Fox-IT 表示,受影响的 Citrix NetScaler 服务器数量正在下降,但仍有大量受感染实例。
研究人员警告说,打过补丁的 NetScaler 服务器仍然可能存在后门,并建议管理员对其系统进行基本分类。
他们提供了一个 使用 Dissect取证和事件响应工具包的Python 脚本 。
Mandiant 还发布了一款 扫描器 ,可查找与利用 CVE-2023-3519 的攻击相关的妥协指标。不过,研究人员警告说,运行此 bash 脚本两次会导致误报,因为“每当运行该脚本时,某些搜索就会写入 NetScaler 日志中”。
LinkedIn 正成为一波帐户黑客攻击的目标,导致许多帐户出于安全原因被锁定或最终被攻击者劫持。
据 Cyberint今天报道,许多 LinkedIn 用户一直在抱怨帐户被接管或锁定,以及无法通过 LinkedIn 支持解决问题。
Cyberint 的研究员 Coral Tayar 表示:“有些人甚至被迫支付赎金才能重新获得控制权,或者面临账户被永久删除的情况。”
“虽然 LinkedIn 尚未发布正式公告,但他们的支持响应时间似乎已经延长,有报道称支持请求数量很大。”
从BleepingComputer 在 Reddit、Twitter和Microsoft 论坛上看到的投诉来看,LinkedIn 的支持并没有帮助恢复被泄露的帐户,用户只是因为缺乏回应而感到沮丧。
“我的帐户 6 天前被黑客攻击。电子邮件在半夜被更改,我无法确认更改或阻止它,”一位受影响的用户在Reddit 帖子中写道。
“他们在任何地方都没有回应。这太可悲了。我尝试报告我被黑的帐户,进行身份验证,甚至在 Twitter 上的@linkedinhelp 上私信他们。任何地方都没有回应。这真是一个公司的笑话......”
Cyberint 表示,谷歌趋势中也反映出了突破的迹象,其中有关 LinkedIn 帐户被黑客攻击或恢复的搜索词在过去几个月中增长了 5,000%。
攻击者似乎正在使用泄露的凭据或暴力破解来尝试控制大量 LinkedIn 帐户。
对于受到强密码和/或双因素身份验证适当保护的帐户,多次接管尝试导致平台实施临时帐户锁定作为保护措施。
然后,系统会提示这些帐户的所有者通过提供附加信息来验证所有权,并在允许再次登录之前更新其密码。
之后,劫持者更改账户密码,阻止原持有者访问其账户。许多用户还报告称,黑客在劫持账户后开启了2FA,使得账户恢复过程变得更加困难。
在 Cyberint 观察到的某些情况下,攻击者会索要小额赎金,将帐户归还给原始所有者,或者在没有提出任何要求的情况下直接删除帐户。
LinkedIn 帐户对于社会工程、网络钓鱼和工作机会诈骗非常有价值,这些诈骗有时会导致数百万美元的网络抢劫。
尤其是在LinkedIn 引入了打击平台上虚假个人资料和不真实行为的功能之后,劫持现有帐户对于黑客来说变得更加务实。
如果您拥有 LinkedIn 帐户,那么现在是检查您已激活的安全措施、启用 2FA 并切换到唯一的长密码的好时机。
28u.cc已联系 LinkedIn,请求对所报道的情况发表评论,但截至发稿时我们尚未收到回复。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
