Verschillende aanvallers maken inmiddels gebruik van het beveiligingslek in Citrix om kwetsbare servers over te nemen. Onderzoekers hebben één aanvaller ontdekt die malware van al eerder overgenomen Citrix NetScaler-apparaten verwijdert en verdere aanvalspogingen op servers blokkeert.
De aanvaller laat echter ook een backdoor achter zodat hij toegang tot de machine behoudt. Dat meldt securitybedrijf FireEye in een analyse. Het securitybedrijf heeft inmiddels tientallen succesvolle aanvallen tegen Citrix-servers geanalyseerd. Aanvallers blijken het Citrix-lek onder andere te gebruiken om apparaten met een cryptominer te infecteren die de rekenkracht van de machine voor het delven van cryptovaluta gebruikt.
Eén aanvaller viel echter op omdat die dergelijke malware juist verwijdert. Daarnaast zoekt deze aanvaller naar bestanden, exploitcode en scripts van andere aanvallers en verwijdert die voordat ze kunnen worden aangeroepen. Het is echter de vraag of deze aanvaller goede bedoelingen heeft, zegt onderzoeker William Ballenthin. Er wordt namelijk ook een backdoor achtergelaten. Deze backdoor is via een passphrase te benaderen, mogelijk voor een toekomstige aanvalscampagne, aldus Ballenthin. FireEye heeft bijna honderd hardcoded keys ontdekt waarmee de aanvaller toegang tot gecompromitteerde omgevingen kan krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.