Citrix Bleed : Boeing éclaire sur la faille qui lui a valu un ransomware

Comment LockBit a-t-il piraté Boeing ? Un bulletin commun des ANSSI américaine et australienne donne des éléments de réponse, à renfort d’IoC qu’a fournis le constructeur aéronautique.

Le point focal de ce bulletin n’est pas tant l’attaque contre Boeing – plus précisément l’entité Boeing Distribution – que la faille qui a permis l’accès initial : Citrix Bleed (CVE-2023-4966).

Cette vulnérabilité touche NetScaler ADC et Gateway. Exploitée depuis au moins août 2023, elle permet de récupérer des cookies de session… et ainsi de contourner l’authentification sur ces produits.

À la racine de la campagne contre Boeing, il y a l’exécution d’un script PowerShell (123.ps1) qui concatène deux chaînes base64, les convertit en octets et les écrits dans un fichier C:\Users\Public\adobelib.dll. Celui-ci est ensuite utilisé pour envoyer une requête POST vers un site d’apparence légitime (pouvant sembler héberger des mises à jour de produits Adobe).

Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !

Silicon.fr vous invite pour une matinée d’échanges autour des projets d’analyse de données et de services cloud.
Au programme :  des retours d’expérience de migrations d’applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d’expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).

Inscrivez-vous gratuitement ici

La suite du bulletin contient peu de précisions sur le déroulement de l’attaque. Elle comporte, en revanche, de nombreux IoC. Parmi ceux fortement susceptibles de témoigner de la présence de LockBit dans un environnement, il y a notamment un exécutable et des IP de serveurs C2 associés à AnyDesk, ainsi que l’utilitaire PuTTY Link (client SSH). On trouve aussi, entre autres indicateurs, un script pour déchiffrer des authentifiants Veeam et un agent Total Network Inventory.

Citrix Bleed en quatre fichiers

Le rapport d’analyse accompagnant le bulletin apporte des précisions. La CISA y évoque quatre fichiers qu’elle a eu à analyser : a.bat, a.exe, a.dll et a.py.

Le script Python sert à établir une session distante via WinRM.

L’exécutable effectue un appel RPC pour fournir un chemin vers le processus LSASS sur la machine infectée. Il y charge alors la DLL.

Cette dernière utilise l’API Windows CreateFileW pour créer un fichier PNG.
Elle exploite ensuite la fonction MiniDumpWriteDump de Dbgcore.dll pour effectuer un dump du processus LSASS. Ce dump est alors intégré dans le fichier PNG.

Le fichier batch exécute a.exe avec a.dll en argument. Le résultat est inséré dans un fichier z.txt localisé dans C:\Windows\Tasks. Après quoi a.bat exécute un reg save pour sauvegarder les groupe HKLM\SYSTEM et HKLM\SAM dans le dossier C:\Windows\Tasks\em. Puis il exécute trois commandes makecab sur ces sauvegardes et sur le PNG pour les empaqueter.