Güvenlik firması Huntress'in Perşembe günü yayımladığı rapora göre, bir ilk erişim komisyoncusu (initial access broker), CitrixBleed2 olarak bilinen kritik bir güvenlik açığını silah haline getirerek 2026 yılının ilk yarısında birden fazla kuruluşa yönelik bir dizi saldırı gerçekleştirdi. Saldırganlar, zafiyeti istismar ettikten sonra ayrıcalık yükseltme yaparak yerel yönetici hesapları oluşturdu ve ScreenConnect ile Zoho Assist gibi meşru uzaktan erişim araçlarını kullanarak kalıcılık sağladı.
Ocak ile Haziran ayları arasında yaşanan yaklaşık yarım düzine vaka, tutarlı bir oyun kitabını takip etti. En ileri vakada saldırganların DragonForce fidye yazılımını devreye soktuğu belirtildi. Huntress Baş Takımsal Müdahale Analisti Michael Tigges, 'Fidye yazılımına ilerleyen olayda, saldırganın en büyük avantajı hızıydı – yerel ayrıcalık yükseltme betiğinin çalıştırılmasının hemen ardından fidye yazılımı devreye sokuldu ve savunmacıların yanıt vermesi için çok az zaman kaldı' dedi.
Tüm vakalar birbirine çok benzer saldırı modelleri içeriyordu. Yalnızca bir vakada DragonForce fidye yazılımının kullanıldığı görüldü. Huntress, Citrix NetScaler kullanan kuruluşları sistemlerini güncellemeye ve ek önlemler almaya çağırıyor. Güvenlik açığı, NetScaler ADC ve NetScaler Gateway'de yetersiz girdi doğrulamasından kaynaklanıyor ve NetScaler'ın Gateway veya sanal sunucu olarak yapılandırılması durumunda bellek taşmasına yol açıyor. Citrix, zafiyetle ilgili kılavuzu geçen yıl yayımlamıştı.
Nisan ayında Sophos araştırmacıları, STAC3725 adı altında benzer bir faaliyet kümesi tespit etmişti. Bu saldırılarda açık kaynak makine öykünücüsü QEMU'nun kötüye kullanıldığı görüldü. CitrixBleed2, 2023 yılında ortaya çıkan ve Comcast, Boeing'in bir yan kuruluşu ve diğer büyük şirketleri hedef alan büyük bir saldırı dalgasına yol açan CitrixBleed zafiyetine benzerlik gösteriyor.
Huntress raporu, zafiyetin hâlâ aktif olarak istismar edildiğini ve ilk erişim komisyoncularının bu tür açıkları kullanarak ağlara sızma konusunda uzmanlaştığını gösteriyor. Kuruluşların NetScaler cihazlarını derhal güncellemesi, çok faktörlü kimlik doğrulama kullanması ve uzaktan erişim araçlarının kullanımını sıkı şekilde denetlemesi öneriliyor. Ayrıca, anormal yönetici hesabı oluşturma ve yetkisiz uzaktan erişim yazılımı yüklemeleri gibi belirtilere karşı ağ izleme çözümleri etkinleştirilmelidir.
Saldırganların kullandığı ScreenConnect ve Zoho Assist gibi meşru araçların tespit edilmesi zor olabilir. Bu nedenle, güvenlik ekiplerinin bu tür araçların kurumsal kullanımını beyaz listeye alması ve imzasız veya bilinmeyen kaynaklardan gelen yüklemeleri engellemesi kritik önem taşımaktadır. DragonForce fidye yazılımının hızlı yayılımı, erken tespit ve müdahale mekanizmalarının ne kadar hayati olduğunu bir kez daha ortaya koyuyor.
Kaynak: cybersecuritydive.com