• Citrix Bleed 在公司發現之前就已經被利用

• LockBit 團夥涉嫌濫用該漏洞

Citrix 沒有回應尋求評論的訊息。

據全球銀行安全聯盟FS-ISAC稱，利用 Citrix Bleed 漏洞的犯罪團夥包括世界上最臭名昭著的駭客團夥之一 LockBit，該聯盟週二發布了一份有關金融機構面臨的風險的安全公告。

一位知情人士透露，美國財政部也表示正在調查 Citrix 漏洞是否與最近針對中國工商銀行的勒索駭客攻擊事件有關。這次違規事件導致全球最大的銀行無法清算大量美國國債交易。中國工商銀行沒有回應置評請求。

LockBit 聲稱對 ICBC 的駭客攻擊負責，該團伙的一名代表表示，該銀行支付了贖金，但彭博社無法獨立證實這一說法。《華爾街日報》先前報道了美國公債。

Citrix於 10 月 10 日宣布發現了 Citrix Bleed 漏洞並發布了修補程式。該公司表示，當時沒有跡象顯示有人利用了該漏洞。

然而，根據 Citrix 的貼文和網路安全研究人員的說法，自那以後，多個 Citrix 客戶發現他們在發布修補程式之前就遭到了破壞。據一位不願透露姓名的知情人士透露，早期的受害者之一是歐洲政府。

據 CISA 稱，Citrix Bleed 漏洞可以讓駭客控制受害者的系統。據Palo Alto Networks Inc. 的網路安全公司研究部門 Unit 42稱，該缺陷因其可以從設備內存中洩露敏感信息而得名。洩露的數據可能包括“會話令牌”，可以識別和驗證訪問者的身份。無需輸入密碼即可存取特定網站或服務。

Citrix 標記漏洞後，網路安全公司Mandiant就開始調查該漏洞，並最終在漏洞公開或修復之前發現了多名受害者，時間可以追溯到 8 月底。

Mandiant 諮詢部門的首席技術長 Charles Carmakal 告訴彭博社，這些最初的攻擊似乎沒有經濟動機。他說，曼迪安特仍在評估這些早期的入侵是否是某個民族國家（可能是中國）出於間諜目的而進行的。

在被要求置評時，中國駐華盛頓大使館沒有提及 Citrix 漏洞，而是引用了外交部 11 月 10 日的評論。工行表示，工商銀行高度關注此事，採取了有效的緊急應變措施，並進行了適當的監督和溝通，以最大程度地減少風險、影響和損失。

By Lauren Ohnesorge

Citrix 於 10 月 23 日更新了其指南，不僅建議修補，還建議「終止所有活動和持久會話」。

數千家公司未能更新其 Citrix 軟體，也未能採取該公司、CISA 和其他機構緊急建議的其他行動。帕洛阿爾託的Unit 42 團隊也觀察到了利用該漏洞的勒索軟體組織，他們在11 月1 日的部落格中表示，至少6,000 個IP 位址似乎容易受到攻擊，其中最大數量的設備位於美國以及其他美國國家。德國、中國和英國。

GreyNoise是一家分析 IP 位址掃描的公司，報告自 10 月 17 日開始追蹤以來，已發現 335 個唯一的 IP 位址試圖使用 Citrix Bleed 漏洞。

LockBit 既是一個團伙的名稱，也是它產生的一種勒索軟體。FBI 表示，自 2020 年以來，它對美國發生的 1,700 多起攻擊事件負有責任。

安全研究員 Kevin Beaumont 表示，LockBit 對 Citrix 漏洞的利用已擴展到多個受害者。他在 Medium 上發文稱， Allen & Overy律師事務所因 Citrix 漏洞而遭到攻擊，而航空巨頭波音公司和港口營運商DP World Plc也未給 Citrix 設備打補丁，這使得駭客有可能利用該漏洞。