# LockBit Citrix Bleed Campaign 2023 > [!danger] LockBit explorou zero-day Citrix para bypassar MFA e atacar hospitais e bancos globalmente > Entre agosto de 2023 e fevereiro de 2024, operadores do [[lockbit|LockBit]] exploraram o [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed - CVSS 9.4) como zero-day em NetScaler ADC/Gateway para roubar tokens de sessao e bypassar MFA completamente. A campanha atingiu Boeing, Banco Industrial e Comercial da China (ICBC), Allen & Overy e hospitais no Brasil, causando disrupcao financeira e operacional de escala global. ## Visão Geral A campanha **LockBit Citrix Bleed 2023** representa um dos melhores exemplos de como um único zero-day em infraestrutura de rede perimetral pode desencadear comprometimentos em escala massiva. O [[cve-2023-4966|CVE-2023-4966]] - batizado "Citrix Bleed" pela analogia com o Heartbleed - e uma vulnerabilidade de **memory disclosure** no Citrix NetScaler ADC e Gateway que permite vazar tokens de sessao autenticada da memoria do dispositivo. Isso significa que um atacante pode obter um token de sessao válido de um usuario autenticado - incluindo usuarios que completaram MFA - **sem conhecer a senha ou o segundo fator**. O impacto desta técnica de bypass de MFA foi devastador: a Citrix corrigiu a falha em outubro de 2023, mas a exploração como zero-day já ocorria desde agosto, e mesmo após o patch, organizacoes que nao inválidaram as sessoes ativas existentes permaneciam vulneraveis. Os operadores do [[lockbit|LockBit]] exploraram essa jánela sistematicamente, instalando ferramentas de acesso remoto (AnyDesk, Splashtop) para persistência, realizando reconhecimento de Active Directory, exfiltrando 40-50GB de dados antes da criptografia, e implantando o ransomware LockBit para demanda de pagamento. No Brasil, hospitais e organizacoes do setor de saúde foram alvos confirmados. O caso do **ICBC - Industrial and Commercial Bank of China** (maior banco do mundo por ativos) foi o mais impactante: o ataque ao escritorio americano do ICBC paralysou por horas a liquidacao de titulos do Tesouro americano no mercado financeiro global, demonstrando como ransomware em infraestrutura financeira critica pode ter consequências sistemicas. O advisory CISA AA23-352A (dezembro de 2023) documentou os IoCs e TTPs desta campanha com base em evidências forenses de múltiplos incidentes. ## Attack Flow - Citrix Bleed ```mermaid graph TB A["🎯 CVE-2023-4966 Zero-Day<br/>NetScaler ADC/Gateway"] --> B["💧 Memory Leak<br/>Roubo de tokens de sessão"] B --> C["🔓 Bypass de MFA<br/>Acesso autenticado sem credenciais"] C --> D["🔍 Reconhecimento AD<br/>XScan, net user, enumeração"] D --> E["🔧 Ferramentas Remotas<br/>AnyDesk, Splashtop instalados"] E --> F["📤 Exfiltração 40-50GB<br/>Dados roubados antes do ransom"] F --> G["💀 LockBit Ransomware<br/>Criptografia em escala"] classDef exploit fill:#5a1a1a,color:#ffaaaa,stroke:#e74c3c classDef recon fill:#2a2a1a,color:#ffff99,stroke:#f1c40f classDef impact fill:#1a3a1a,color:#aaffaa,stroke:#27ae60 class A,B,C exploit class D,E recon class F,G impact ``` **LockBit Citrix Bleed Campaign 2023** é uma campanha de ransomware em larga escala conduzida por afiliados do [[lockbit|LockBit Operators]] que explorou massivamente a vulnerabilidade [[cve-2023-4966|CVE-2023-4966]] - apelidada de *Citrix Bleed* - no **NetScaler ADC** e **NetScaler Gateway** da Citrix para obter acesso inicial a organizações globalmente, contornando completamente a autenticação multifator. A Boeing, o ICBC (maior banco do mundo por ativos), o Port of Nagoya, DP World e Allen & Overy estão entre as vítimas de alto perfil confirmadas. ## Resumo Operacional O [[cve-2023-4966|CVE-2023-4966]] é uma vulnerabilidade crítica de *buffer overflow* (CVSS 9.4) nas versões afetadas do NetScaler que permite vazar tokens de sessão autenticados da memória do appliance sem necessidade de credenciais. Os tokens obtidos davam acesso autenticado completo, **ignorando senhas e MFA**, e os afiliados do LockBit adotaram a vulnerabilidade rapidamente após PoCs públicos emergirem, integrando-a ao toolkit padrão de acesso inicial. ## Detalhes Técnicos ### Mecânica da Vulnerabilidade (CVE-2023-4966) O bug reside no **Packet Processing Engine (nsppe)** do NetScaler ao processar o endpoint OpenID Connect Discovery (`/oauth/idp/.well-known/openid-configuration`) quando configurado como Gateway VPN, ICA Proxy, CVPN ou RDP virtual server. - **Vetor de exploração:** Requisição HTTP GET com header `Host` excessivamente longo (overflow de buffer) vaza conteúdo da memória do processo, incluindo cookies de sessão de usuários autenticados - **Autenticação:** Zero - nenhuma credencial ou interação do usuário é necessária - **MFA bypass:** Tokens de sessão pós-autenticação são extraídos diretamente, contornando completamente a autenticação multifator - **Logs:** A exploração não é registrada nos logs padrão do NetScaler - difícil detecção pós-fato **Versões afetadas (exemplos):** - NetScaler ADC 13.1-FIPS antes de 13.1-37.164 - NetScaler 12.1-FIPS antes de 12.1-55.300 A Citrix emitiu patch em **10 de outubro de 2023**, mas a exploração como zero-day começou em **agosto de 2023** - dois meses antes da divulgação. ### TTPs Pós-Acesso dos Afiliados LockBit Após sequestrar tokens de sessão e obter acesso autenticado, os afiliados seguiam um padrão documentado (compartilhado pela Boeing com a CISA): 1. **Scripts PowerShell** para implantação de DLLs de C2 (ex: `adobelib.dll`) 2. **Ferramentas de acesso remoto:** AnyDesk, Splashtop instalados como persistência alternativa 3. **Reconhecimento:** `net user`, XScan via `s.exe`, enumeração de AD 4. **Exfiltração:** Dados roubados antes da fase de criptografia (ex: 40-50GB no caso Boeing) 5. **Ransomware LockBit** implantado na fase final ### Timeline da Exploração | Data | Evento | |------|--------| | **Agosto 2023** | Exploração zero-day começa; primeiros comprometimentos silenciosos | | **10 Out 2023** | Citrix divulga CVE-2023-4966 e emite patch | | **17-18 Out 2023** | Mandiant reporta exploração ativa generalizada; patch insuficiente sem inválidar sessões | | **25-26 Out 2023** | PoC público lançado; explosão de exploração massificada | | **10 Nov 2023** | ICBC (US arm) atingido; suspeita LockBit via Citrix Bleed | | **15 Nov 2023** | US Treasury confirma ICBC comprometido via CVE-2023-4966 | | **21-22 Nov 2023** | Advisory conjunto CISA/FBI/ACSC/MS-ISAC (AA23-325A) com IoCs Boeing | | **Fev 2024** | Operação policial global contra infraestrutura LockBit; campanha encerrada | ## Vítimas Confirmadas | Organização | Impacto | Setor | |-------------|---------|-------| | **Boeing** (partes e distribuição) | 40-50GB de dados exfiltrados; públicados no site LockBit | Aeroespacial / [[defense]] | | **ICBC** (operações EUA) | Disrupção de sistemas financeiros; maior banco do mundo por ativos | [[financial]] | | **Port of Nagoya** | Operações portuárias interrompidas | Logística / [[critical-infrastructure]] | | **DP World** | Operações portuárias na Austrália | Logística | | **Allen & Overy** | Firma jurídica global | Serviços | ## Impacto Global e Escala - **Dispositivos vulneráveis expostos (pré-patch):** ~8.000 NetScaler Gateway, 6.000 NetScaler ADC na internet pública - **Distribuição geográfica (EUA: 3.100, Alemanha: 800, China: 450, Reino Unido: 400)** - **CISA notificou ~300 organizações vulneráveis** antes do patch público - LockBit afiliados afirmaram comprometer até **800 alvos** em 2023 usando este vetor - Boeing recebeu elogios públicos da CISA por compartilhar TTPs e IoCs para benefício do ecossistema ## Advisory CISA (AA23-325A) O advisory conjunto CISA/FBI/ACSC/MS-ISAC de novembro de 2023 incluiu: - TTPs detalhados fornecidos voluntariamente pela Boeing - Regras YARA para detecção de artefatos LockBit - Alerta de que organizações que apenas aplicaram o patch mas não inválidaram sessões ativas permaneciam comprometidas - Recomendação de assumir comprometimento total se o appliance estava vulnerável durante a jánela de exploração - [[lockbit|LockBit Operators]] - [[cve-2023-4966|CVE-2023-4966]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[financial]] - [[government]] ## Relevância LATAM/Brasil O Brasil figura entre os países afetados pela campanha, com organizações dos setores financeiro, de saúde e governamental operando NetScaler ADC/Gateway expostos à internet durante a jánela de exploração. A prevalência de appliances Citrix em grandes bancos e hospitais brasileiros torna a vulnerabilidade especialmente relevante para a região. O CERT.br e a Kaspersky documentaram tentativas de exploração do [[cve-2023-4966|CVE-2023-4966]] contra alvos brasileiros no período pós-PoC (outubro-novembro 2023). Organizações que ainda não verificaram se havia sessões ativas durante a jánela de zero-day devem assumir comprometimento e conduzir investigação forense completa. ## Referências - CISA Advisory AA23-325A: LockBit 3.0 Affiliates Exploit CVE-2023-4966 (Novembro 2023) - Mandiant: Widespread Exploitation of CVE-2023-4966 - Citrix Bleed - Unit 42 (Palo Alto): Threat Brief - CVE-2023-4966 NetScaler Citrix Bleed - Picus Security: CVE-2023-4966 LockBit Exploits Citrix Bleed in Ransomware Attacks