Неизвестный хакер патчит уязвимые серверы Citrix

[EnjoyGGWP]

На прошлой неделе мы писали о том, что в открытом доступе появились эксплоиты для критической уязвимости CVE-2019-19781, найденной недавно в Citrix Application Delivery Controller (NetScaler ADC) и Citrix Gateway (NetScaler Gateway).
Напомню, что по данным специалистов, эта проблема угрожает 80 000 компаний в 158 странах мира и позволяет хакерам захватывать устройства, получая доступ к внутренним сетям компаний. Баг настолько серьезен, что считается одной из наиболее опасных ошибок, обнаруженных за последние годы.
Основная проблема заключается в том, что с момента обнаружения уязвимости прошло уже больше месяца, однако разработчики Citrix не торопились выпускать патч. Сначала компания ограничилась только рекомендациями по безопасности, объяснив клиентам, как уменьшить риски, а фактическое исправление появилось лишь вчера, 19 января 2020 года.
После публикации эксплоитов атаки на уязвимые версии Citrix ожидаемо усилились, так как многочисленные хакеры надеются скомпрометировать какую-нибудь ​​важную цель — корпоративную сеть, государственный сервер или госучреждение.
Специалисты FireEye предупредили, что как минимум один из множества атакующих действует из-под Tor и демонстрирует странное поведение: разворачивает на взломанных серверах пейлоад NotRobin. По данным аналитиков FireEye, у NotRobin есть две основные цели. Во-первых, он служит бэкдором для взломанного устройства Citrix. Во-вторых, он является своеобразным антивирусом, удаляя другую обнаруженную в системе малварь и тем самым не позволяя другим злоумышленникам оставлять свою полезную нагрузку на этом хосте. Никакой дополнительной малвари, помимо NotRobin, на зараженные серверы установлено не было.
Исследователи FireEye сомневаются в том, что за этими атаками стоит какой-то добрый самаритянин. В своем отчете они пишут, что хакер, скорее всего, пока лишь собирает доступ к уязвимым устройствам, "зачищает их" и готовится к последующей кампании.
source: xakep.ru/2020/01/20/citrix-attacks/