初期アクセスブローカー、CitrixBleed2の脆弱性を悪用した攻撃に関与

オープンソースのマシンエミュレータを利用した一連の攻撃でも、同様の手口による悪用が確認されています。

Image

ある初期アクセスブローカーが、2026年上半期にかけて複数の組織を標的とした一連の攻撃において、「CitrixBleed 2」として知られる重大な脆弱性を悪用していたことが明らかになりました。セキュリティ企業Huntressが木曜日に発表したレポートで報告しています。セキュリティ企業Huntressが木曜日に発表したレポート 

この脆弱性を悪用した後、攻撃者は権限を昇格させ、不正なローカル管理者アカウントを作成し、ScreenConnectやZoho Assistといった正規のリモートアクセスツールを使って永続化を確立していました。

1月から6月にかけて確認された約6件の事案は、いずれも一貫した手口に従っていました。最も深刻化した事例では、攻撃者がDragonForceランサムウェアを展開していたと、Huntressの研究者は述べています。

「ランサムウェア展開まで進んだ事案では、攻撃者の行動速度こそが唯一無二の強みでした。ローカル権限昇格スクリプトの実行直後にほぼ即座にランサムウェアが展開されており、防御側が対応する時間はほとんど残されていませんでした」と、Huntressの主任戦術対応アナリストであるMichael Tigges氏はCybersecurity Diveに語っています。

これらの事案はいずれも非常によく似た攻撃パターンをたどっていました。ただし、DragonForceランサムウェアの展開に至ったのはそのうち1件のみでした。

HuntressはCitrix NetScalerを利用している組織に対し、システムへのパッチ適用と追加対策の実施を強く呼びかけています。

Citrixによると、この脆弱性はNetScaler ADCおよびNetScaler Gatewayにおける入力検証の不備に起因するもので、NetScalerがGatewayまたは仮想サーバーとして構成されている場合にメモリオーバーリードを引き起こします。この欠陥は数多くの攻撃で2025年に悪用されていました。

Citrixは昨年、この脆弱性に関するガイダンスを公表していました。

関連キャンペーン

4月には、Sophosの研究者が同様のパターンの活動を発見し、このクラスターを「STAC3725」という名称で追跡していました。これらの攻撃ではオープンソースのマシンエミュレータであるQEMUの悪用が確認されていました。

この脆弱性は、Comcast、Boeingの子会社をはじめとする大手企業を標的とした大規模な攻撃の波を引き起こした2023年の脆弱性「CitrixBleed」と類似したものです。

翻訳元: https://www.cybersecuritydive.com/news/initial-access-broker-citrixbleed2-flaw-DragonForce/824961/

ソース: cybersecuritydive.com