Citrix Bleed 취약점(CVE-2023-4966)이 미주, 유럽, 아프리카, 아시아-태평양 지역의 정부, 기술, 법률 조직을 대상으로 한 해킹 공격에 이용되고 있습니다. Mandiant의 연구원들은 이 취약점을 이용한 네 가지 공격 캠페인이 진행 중이며, 이 공격들은 2023년 8월 말부터 시작되었다고 보고했습니다. 이 취약점은 Citrix NetScaler ADC와 NetScaler Gateway에 영향을 미치며, 이를 통해 장치에 저장된 민감한 정보에 접근할 수 있습니다.

해커들은 이 취약점을 이용해 기존의 인증된 세션을 탈취하고 다중 요소 보호를 우회하는 데 이용했습니다. 특히, 해커들은 특별히 제작된 HTTP GET 요청을 이용해 장치가 시스템 메모리 내용을 반환하도록 만들었고, 이 내용에는 인증 후 및 MFA 검사 후에 발행된 유효한 Netscaler AAA 세션 쿠키가 포함되어 있습니다. 이러한 인증 쿠키를 훔친 해커들은 MFA 검증을 다시 수행하지 않고도 장치에 접근할 수 있습니다.

해킹 공격 후, 공격자들은 네트워크를 탐색하고 계정 자격 증명을 훔친 후 RDP를 통해 가로로 이동했습니다. 이 단계에서 위협 요소들이 사용하는 도구들은 net.exe, netscan.exe, 7-zip, certutil, e.exe, d.dll, sh3.exe, FREEFIRE, Atera, AnyDesk, SplashTop 등입니다. 이들 중 FREEFIRE는 명확한 침입의 징후로, 이를 감지하기 위한 Yara 규칙이 연구자들에 의해 공개되었습니다.

요약

- 'Citrix Bleed' 취약점(CVE-2023-4966)이 전 세계의 정부, 기술, 법률 조직을 대상으로 한 해킹 공격에 이용되고 있다.
- 해커들은 이 취약점을 이용해 기존의 인증된 세션을 탈취하고 다중 요소 보호를 우회하는 데 이용했다.
- 해킹 공격 후, 공격자들은 네트워크를 탐색하고 계정 자격 증명을 훔친 후 RDP를 통해 가로로 이동했다.
- 이 단계에서 위협 요소들이 사용하는 도구들은 net.exe, netscan.exe, 7-zip, certutil, e.exe, d.dll, sh3.exe, FREEFIRE, Atera, AnyDesk, SplashTop 등이다.
- 이들 중 FREEFIRE는 명확한 침입의 징후로, 이를 감지하기 위한 Yara 규칙이 연구자들에 의해 공개되었다.

Reference

https://www.bleepingcomputer.com/news/security/hackers-use-citrix-bleed-flaw-in-attacks-on-govt-networks-worldwide/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*