FIN8黑客组织针对Citrix NetScaler的网络攻击

关键要点

攻击者 FIN8黑客组织的关联威胁行为者STAC4663漏洞 CVE20233519，属于严重的远程代码执行漏洞攻击手段 涉及有效载荷注入、PHP Webshell 部署、使用特定Hosting和PowerShell 编写脚本控制命令IP 攻击使用了两个不同的指挥和控制IP地址紧急修补 Sophos建议尽快打补丁以避免潜在攻击

据BleepingComputer报道，涉嫌与FIN8黑客组织相关的威胁行为者STAC4663已针对存在关键远程代码执行漏洞CVE20233519的Citrix NetScaler系统发起了广泛的网络攻击。除了进行有效载荷注入和PHP Webshell的部署外，STAC4663还利用了BlueVPS托管、域发现、非典型的PowerShell脚本、plink和PuTTY Secure Copy等技术，对Citrix NetScaler ADC及其实例进行攻击。根据Sophos XOps研究团队的分析，攻击行为与之前FoxIT报告的FIN8黑客组织对NetScaler的攻击存在关联。

白鲸加速器app攻击手段描述有效载荷注入插入恶意代码以执行未授权操作PHP Webshell 部署在服务器上植入后门，滥用Web功能PowerShell 脚本使用PowerShell执行命令及自动化任务

此外，攻击还涉及使用两个不同的指挥和控制IP地址，首个IP用于恶意软件的部署，第二个IP则用于响应之前NetScaler攻击中使用的C2软件。Sophos研究人员已紧急建议进行补丁修复，并发布了潜在攻击的指示器，以更好地防范未来可能发生的攻击。