CISA, ФБР, MS-ISAC и Австралийский центр кибербезопасности Австралийского управления связи (ASD's ACSC) выпускают данный CSA с целью распространения IOC, TTP и методов обнаружения, связанных с программой-вымогателем LockBit 3.0, использующей CVE-2023-4966, обозначенный как Citrix Bleed, и поражающей устройства Citrix NetScaler Web Application Delivery Control (ADC) и NetScaler Gateway.
В настоящем CSA представлены ТТП и МОК, полученные от ФБР, ACSC и добровольно предоставленные компанией Boeing. Компания Boeing наблюдала, как аффилированные лица LockBit 3.0 использовали CVE-2023-4966 для получения первоначального доступа к Boeing Distribution Inc., своему бизнесу по производству запчастей и дистрибуции, который работает в отдельной среде. Другие доверенные третьи стороны отметили аналогичную активность в своих организациях.
В прошлом атаки группировки LockBit 3.0 проводились на организации различного масштаба в различных секторах критической инфраструктуры, включая образование, энергетику, финансовые услуги, пищевую промышленность и сельское хозяйство, государственные и аварийные службы, здравоохранение, производство и транспорт.
Наблюдаемые TTP для атак с использованием вымогательского ПО LockBit могут существенно различаться по наблюдаемым TTP.
Citrix Bleed, который, как известно, используется партнерами LockBit 3.0, позволяет атакующим обойти требования к паролю и многофакторной аутентификации (MFA), что приводит к успешному перехвату сессий легитимных пользователей на устройствах управления доставкой веб-приложений (ADC) и шлюзах Citrix NetScaler. В результате захвата сеансов легитимных пользователей злоумышленники получают повышенные полномочия для сбора учетных данных, перемещения в пространстве и доступа к данным и ресурсам.
Indicators of Compromise
IPv4
- 141.98.9.137
- 168.100.9.137
- 185.17.40.178
- 185.229.191.41
- 193.201.9.224
- 206.188.197.22
- 45.129.137.233
- 51.91.79.17
- 62.233.50.25
- 81.19.135.219
- 81.19.135.220
- 81.19.135.226
Domains
- adobe-us-updatefiles.digital
URLs
- http://62.233.50.25/en-us/docs.html
- http://62.233.50.25/en-us/test.html
- https://adobe-us-updatefiles.digital/123.ps1
SHA256
- 17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994
- 906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6
- 98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9
- cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63
- e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068
- ed5d694d561c97b4d70efe934936286fe562addf7d6836f795b336d9791a5c44