The Hacker Newsは8月29日(現地時間)、「Citrix NetScaler Alert: Ransomware Hackers Exploiting Critical Vulnerability」において、インターネット上にあるパッチが適用されていないCitrix NetScalerが攻撃者の標的になっていると報じた。セキュリティ企業のSophosはこの活動クラスタをSTAC4663と名付けて追跡している。

the Hacker Newsによると、この攻撃チェーンには、認証されていない第3者によって任意のコードが実行される可能性のあるNetScaler ADCおよびNetScaler Gatewayの脆弱性CVE-2023-3519が含まれているとされる。2023年8月中旬に確認されたとある侵入インシデントでこの脆弱性が悪用され、Windows Update Agent(wuauclt.exe)やWindows Management Instrumentation Provider Service(wmiprvse.exe)などの正規のファイルにペイロードの注入が行われたとみられている。

ほかにも、難読化されたPowerShellスクリプトやPHP Webシェルの配布、BlueVPSと呼ばれるエストニア共和国のサービスの利用などが挙げられており、Sophosはこれらのことからランサムウェア攻撃を専門とする攻撃者による仕業である可能性が高いとしている。

The Hacker Newsは広く使用されるソフトウェアの脆弱性を悪用して標的への侵入を行うことで、脅威アクタが攻撃を急速にエスカレートさせていると指摘。さらに、企業を迅速に侵害できるように窃取と暗号化のプロセスに磨きをかけているとしており脅威が増している。

また、一部の攻撃者はランサムウェア攻撃の恐喝スキームを暗号化なしの単純なデータ窃取と恐喝の戦術に移行しているとされ、時間のかかる暗号化処理中に検出されることを回避して、企業にとってクリティカルな情報を確実に窃取して恐喝しようとする意図があるものとみられている。Citrix NetScaler ADCおよびNetScaler Gatewayの管理者は、速やかに最新のパッチを適用することが強く望まれている。