LockBit 3.0 랜섬웨어 공격 탐지: CISA, FBI 및 국제 사이버 당국이 CVE 2023-4966 Citrix Bleed 취약점 악용 경고
목차:
Citrix NetScaler ADC 및 Gateway 제품에 영향을 미치는 주요 취약점은 CVE-2023-4966 으로 추적되며, 2023년 10월에 패치되었음에도 불구하고 실제 공격에서 적극적으로 악용되고 있습니다. 다음의 급증으로 인해 LockBit 3.0 랜섬웨어 공격은 Citrix Bleed 취약점이라는 이름으로 이 결함을 무기화하여 CISA와 FBI가 다른 국제 당국과 협력하여 합동 권고문을 최근 발행하여 사이버 보안 인식을 높이고 조직이 위험을 완화할 수 있도록 돕고 있습니다.
CVE-2023-4966을 악용하는 LockBit 3.0 랜섬웨어 공격 탐지
인기 있는 소프트웨어 제품의 취약점은 항상 공격자들이 표적 조직의 목록을 확장하고 성공적인 감염을 위한 보안 조치를 극복할 수 있도록 하는 매력적인 목표였습니다. Citrix NetScaler ADC 및 Gateway (CVE-2023-4966)의 최신 취약점은 피해자 수 및 재정적 이익을 늘리기 위해 LockBit 3.0 랜섬웨어 관리자의 악성 도구세트에 신속하게 추가되었습니다.
사이버 방어자가 잠재적인 공격을 개발 초기 단계에서 식별할 수 있도록 지원하기 위해, SOC Prime의 집단 사이버 방어 플랫폼은 일련의 정제된 탐지 규칙을 집계합니다. 모든 탐지는 28개 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며, 보안 스택에 맞춰 위협 조사를 간소화하도록 MITRE ATT&CK 프레임워크에 매핑됩니다. 또한 각 탐지 규칙은 광범위한 메타데이터, CTI & ATT&CK 링크, 분류 권장 사항 및 기타 관련 세부 사항으로 풍부하게 보강됩니다.
간단히 탐지 탐색 버튼을 클릭하여 전용 탐지 규칙 세트로 자세히 탐사하십시오.
또한 진보된 조직은 포괄적인 LockBit 랜섬웨어 탐지를 위한 규칙 컬렉션 으로 깊이 들어가 그들의 사이버 복원력을 지속적으로 향상시킬 수 있습니다.
사이버 방어자는 또한 파일, 호스트 및 네트워크 IOC를 CISA가 제공한 SOC Prime의 탐지 엔지니어링을 위한 고급 IDE를 사용하여 사냥할 수 있으며, 이제 IOC 패키징을 지원합니다. 바로 Uncoder AI 를 사용해 성능 최적화된 검색 쿼리를 자동으로 생성하고 즉시 SIEM 또는 EDR 환경에서 실행하여 위협 조사 시간을 절감하십시오.
Citrix Bleed 취약점을 악용하는 LockBit 3.0 랜섬웨어 공격: 분석 및 완화 조치
2023년 11월 21일, CISA와 FBI를 포함한 미국 및 글로벌 사이버 보안 기관은 새로운 합동 경고 AA23-325A를 통해 LockBit 3.0 랜섬웨어 공격과 관련된 위험이 증가하고 있다는 사실을 방어자들에게 통지했습니다. CVE 2023-4966 익스플로잇.
2022년 6월, LockBit 그룹은 새로운 적대적 도구와 악성 샘플을 사용한 트릭한 실험으로 악명 높으며, LockBit 3.0이라는 이름의 고급 버전을 소개하며 사이버 위협 무대에 다시 등장했습니다. 적수들은 새롭게 명명된 랜섬웨어 버전을 새로운 갈취 전술로 강화하고 Zcash에서 결제 기능을 추가했습니다.
공동 사이버 보안 권고(CSA)에 따르면 Boeing은 LockBit 3.0 랜섬웨어 계열사가 CVE-2023-4966을 악용하여 Boeing Distribution Inc.에 초기 접근을 얻은 사례를 처음으로 탐지한 기관입니다. 또한 다른 평판 좋은 제3자도 유사한 악성 활동을 관찰하여 조직의 인프라를 침입 위험에 노출시켰습니다.
Citix Bleed로 알려진 CVE-2023-4966은 적대자들이 Citrix NetScaler ADC 및 Gateway 장치에서 합법적인 사용자 세션의 성공적인 탈취로 이어지는 비밀번호 요구 사항 및 다중 인증을 우회할 수 있도록 합니다. 그 결과, 공격자는 권한 상승을 얻어 자격 증명 탈취, 횡적 이동 및 중요한 데이터에 대한 접근을 가능하게 합니다.
방어자들은 CVE-2023-4966 공동 CSA에 발행된 완화 조치를 권고합니다. 여기에는 패치가 준비되고 배포할 수 있을 때까지 테스트를 위해 NetScaler ADC 및 Gateway 인스턴스를 격리하고, RDP 및 기타 원격 데스크톱 도구의 사용을 제한하며,
PowerShell 사용에 제한을 두고 필요한 소프트웨어 업데이트를 Citrix 지식 센터.
를 통해 적용하는 것이 포함됩니다. CISA 및 저작 단체들은 Citrix Bleed가 실제 공격에서 추가로 활용 및 미패치 소프트웨어 서비스에서 악용될 가능성이 매우 높다고 예측합니다. 항상 변화하는 위협 환경을 파악하기 위해, 조직은 트렌딩 CVE에 대한 폭넓은 규칙 세트 에 접근하여 CTI와 실질적인 메타데이터로 강화할 수 있습니다.