中国政府相关黑客攻击Citrix NetScaler

关键要点

一支未知的、专注于间谍活动的黑客组织被指控对Citrix NetScaler应用交付控制器ADC进行攻击，利用了一个现已修复的零日漏洞。至少有15000台NetScaler ADC和NetScaler Gateway服务器暴露在同一远程代码执行RCE漏洞的攻击之下。Citrix上周发布了此漏洞的修复补丁，CISA网络安全和基础设施安全局报告称该漏洞于6月份被利用，盗取了某个关键基础设施组织的Microsoft Active Directory权限。

最新的研究结果显示，与中国相关的间谍活动黑客再次出现，针对Citrix产品的攻击频率在上升。

在周五发布的一篇博客中，Mandiant表示，他们正在积极调查最近受到攻击的ADC设备，这些设备在被利用时已经完全打了补丁。

Mandiant指出，尽管未能根据目前收集到的证据确认攻击的责任，然而，研究以往针对同类设备的攻击操作后发现，这些攻击与与中国相关的间谍威胁行为者的工作一致。

超过15000台NetScaler服务器处于易受攻击状态

与此相关，Shadowserver Foundation于周五发推，表示至少15000台NetScaler服务器因尚未打补丁而暴露于该漏洞中。

该非营利安全组织表示：“我们标记所有见到版本哈希的Citrix实例。这是因为Citrix近期版本中移除了版本哈希信息。”

“因此，我们认为，所有仍然提供版本哈希的实例都未更新，可能存在漏洞。”

Mandiant在其文中提到，如果攻击者成功利用互联网上的“边缘设备”中的漏洞，包括ADC设备，他们可以在无需人工干预的情况下获得初始访问权限。

“自2021年起，网络间谍威胁行为者一直专注于边缘设备，尤其是安全、网络和虚拟化技术，以便在避免检测的情况下，持续访问受害者网络，”研究人员表示。

发现多个Web Shell

在其对此次攻击关键基础设施组织的通知中，CISA表示，威胁行为者在受害者的非生产环境ADC上部署了Web Shell，该Web Shell使攻击者能够对受害组织的Active Directory进行探查，并收集和外泄Active Directory数据。

Mandiant指出，在分析的一台被攻陷的设备中发现了一个Web Shell，认为这是初步攻击向量的一部分。

“威胁行为者利用Web Shell修改了NetScaler配置，特别是尝试停用NetScaler高可用性文件同步nsfsyncd，”研究人员表示。

“此外，威胁行为者还试图从配置文件/etc/monitrc中移除Citrix Monitor的进程，最终杀死了Monitor进程。”

手机能上推特的加速器

Mandiant还发现了六个额外的Web Shell以及攻击者在初始攻击后上传到易受攻击设备的恶意可执行文件和链接格式ELF文件。

此外，威胁行为者还在设备上安装了持久的隧道工具，该工具“提供到硬编码命令与控制地址的加密反向TCP/TLS连接，”研究人员指出。

防防护措施

Mandiant表示，虽然ADC漏洞已在野外被利用，但尚未公开该漏洞的利用代码。建议组织尽快修补此漏洞，并考虑其ADC或Gateway设备的管理端口是否需要不受限制的互联网访问，并尽可能限制访问。

研究人员指出，任何被发现受攻击的设备都应重建，鉴于攻击者的复杂性，认为“ADC升级过程覆盖了一些但不是全部，威胁行为者可能创建Web Shell的目录，这可能导致设备处于被妥协的状态。”