CVE-2021-22941: Vulnerabilità di Esecuzione di Codice Remoto in Citrix ShareFile sfruttata da PROPHET SPIDER
Indice:
Un noto Initial Access Broker PROPHET SPIDER è stato trovato a sfruttare la vulnerabilità CVE-2021-22941 per ottenere accesso non autorizzato a un web server Microsoft Internet Information Services (IIS). I cybercriminali mirano a violare i sistemi di sicurezza delle organizzazioni per bloccare dati sensibili e poi vendere l’accesso a gruppi ransomware.
Sfruttare la suddetta vulnerabilità di path-traversal consente agli avversari di consegnare una webshellche scaricherebbe ulteriori payload. PROPHET SPIDER può ottenere anche accesso iniziale attraverso una rinomata vulnerabilità Log4j.
Esplora le più recenti rilevazioni effettuate dagli sviluppatori della minaccia SOC Prime Threat Bounty e rileva l’attività di PROPHET SPIDER prima che accedano alle tue reti.
Rilevamento CVE-2021-22941
Per rilevare possibili attacchi di PROPHET SPIDER contro i tuoi sistemi, verifica l’elenco delle regole di rilevamento qui sotto. Il nostro contenuto copre entrambi gli exploit delle vulnerabilità Citrix ShareFile e Log4j in VMware.
Per mitigare l’attività malevola associata a PROPHET SPIDER, è importante evitare le lacune di accesso iniziale sfruttate dalla famigerata minaccia. Vi incoraggiamo a rilevare e affrontare non solo una vulnerabilità RCE (CVE-2021-22941) ma anche le vulnerabilità Log4j in VMware Horizon taggate CVE-2021-44228, CVE-2021-45046 e CVE-2021-44832.
PROPHET SPIDER Sfrutta la Vulnerabilità RCE di Citrix ShareFile (Post-sfruttamento)
Le regole sono fornite dai nostri sviluppatori di Threat Bounty Emir Erdogan, Aytek Aytemur, e Nattatorn Chuensangarun.
Gli esperti di cybersecurity sono caldamente invitati a unirsi al programma Threat Bounty per sfruttare la potenza della comunità e ricevere ricompense per il loro contenuto di rilevamento delle minacce.
Visualizza Rilevazioni Partecipa a Threat Bounty
Dettagli Sfruttamento CVE-2021-22941
La webshell distribuita dagli avversari utilizza vulnerabilità note del server web per scaricare strumenti di ransomware. Le ulteriori specifiche dei payload di seconda fase possono differire perché gli aggressori possono scegliere quali utilizzare a seconda della loro motivazione. I payload osservati più spesso includono estorsione, ransomware e il mining di criptovalute.
Il threat actor PROPHET SPIDER opera almeno da maggio 2017. Hanno guadagnato accesso ai sistemi delle vittime sfruttando vulnerabilità note nei server web. L’attività più recente non sembra differire da quella, eccetto per una varietà di payload di seconda fase.
Le ultime vulnerabilità note frequentemente sfruttate da PROPHET SPIDER includono:
- CVE-2021-22941 — colpisce il Citrix ShareFile Storage Zones Controller per ottenere accesso a un web server Microsoft IIS
- CVE-2021-44228, CVE-2021-45046 e CVE-2021-44832 — colpiscono vulnerabilità note di Log4j in VMware Horizon
Una volta ottenuto accesso a un server mirato, gli aggressori sovrascrivono i file esistenti con l’ausilio di parametri caricati inviati in una richiesta HTTP GET. Successivamente, bloccano i dati delle organizzazioni per rivenderli ad altri attori ransomware.
Le seguenti tecniche e sotto-tecniche MITRE ATT&CK possono essere rintracciate in questo sfruttamento:
- Accesso Iniziale (T1190)
- Esecuzione (T1059.001)
- Persistenza (T1505.003)
- Comando e Controllo (T1071)
- Trasferimento Strumenti di Ingresso (T1105)
Il contenuto di rilevamento creato dai collaboratori di crowdsourcing di SOC Prime include rilevamenti basati su comportamento mappati a questi TTP.
Rafforza le tue operazioni SOC quotidiane con la potenza della nostra comunità globale di esperti di rilevamento minacce che contribuiscono continuamente a la piattaforma Detection as Code di SOC Prime. Le APT moderne continuano a crescere le loro reti, quindi affrontare minacce informatiche in continua crescita è difficilmente possibile se l’organizzazione è isolata nel proprio ambiente. Unisciti alla nostra piattaforma per rimanere informato e rilevare attacchi informatici il prima possibile.
