勒索軟體組織 LockBit 利用 Citrix 的嚴重漏洞 Citrix Bleed(CVE-2023-4966)入侵了多家大型企業。該漏洞允許攻擊者在不受限制的情況下訪問受影響的 Citrix 設備,從而可能導致數據洩露或勒索軟體攻擊。
多個網路攻擊者正在積極利用Citrix NetScaler 應用程式交付控制 (ADC) 和網關設備中披露一個關鍵安全漏洞,以獲得對目標環境的初始存取權限,已知 LockBit 3.0附屬公司利用Citrix Bleed 網路攻擊者可以繞過密碼要求和多因素身分驗證 (MFA) ,從而成功應用 Citrix NetScaler Web (科技業領先的Web 和應用程式傳遞控制器) 交付控制和網關設備上的合法用戶。
此漏洞被公開批露後,Google 旗下的 Mandiant(網路安全公司)透漏,她正在追蹤四個不同的未分類(UNC)組織,些組織參與利用CVE-2023-4966 來瞄準美洲、歐洲、中東和非洲及亞太、日本地區的多個垂直行業。
根據資安公司 Mandiant 的報告,LockBit 利用 Citrix Bleed 漏洞攻擊了至少 15 家大型企業,其中包括中國工商銀行、美國航空、英國國家鐵路公司等。這些攻擊導致受影響企業的網路中斷、數據洩露以及數百萬美元的贖金損失。
以下是 LockBit 利用 Citrix Bleed 漏洞入侵企業的常見手法:
攻擊者會向企業發送釣魚郵件,誘騙員工點擊惡意連結或附件。
攻擊者會利用未修補的 Citrix Bleed 漏洞,以管理員權限執行任意程式碼。
攻擊者會在企業內部網路中橫向移動,並取得更多系統控制權。
攻擊者會加密企業內部資料,並要求贖金
參考資料:
https://thehackernews.com/2023/11/lockbit-ransomware-exploiting-critical.html