ABD siber güvenlik ve istihbarat teşkilatları, ABD olarak bilinen bir tehdit aktörü tarafından gerçekleştirilen saldırılara karşı uyarıda bulundu. Bl00dy Fidye Yazılımı Çetesi savunmasız PaperCut sunucularını ülkedeki eğitim tesisleri sektörüne karşı istismar etmeye çalışan.
Federal Soruşturma Bürosu (FBI) ile Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü yayınlanan ortak bir siber güvenlik danışma belgesinde, saldırıların Mayıs 2023’ün başlarında gerçekleştiğini söyledi.
Ajanslar, “Bl00dy Fidye Yazılımı Çetesi, CVE-2023-27350’ye karşı savunmasız olan PaperCut sunucularının internete maruz kaldığı Eğitim Tesisleri Alt Sektöründeki kurban ağlarına erişim sağladı” dedi.
“Nihayetinde, bu operasyonlardan bazıları kurban sistemlerinin veri hırsızlığına ve şifrelenmesine yol açtı. Bl00dy Fidye Yazılımı Çetesi, şifrelenmiş dosyaların şifresinin çözülmesi karşılığında ödeme talep eden kurban sistemlerine fidye notları bıraktı.”
CVE-2023-27350, PaperCut MF ve NG’nin bazı sürümlerini etkileyen ve uzaktaki bir aktörün kimlik doğrulamasını atlamasına ve aşağıdaki etkilenen kurulumlarda uzaktan kod yürütmesine olanak tanıyan, artık yamalanmış kritik bir güvenlik açığıdır.
Nisan 2023’ün ortasından bu yana güvenlik açığından kötü niyetli bir şekilde yararlanıldığı gözlemleniyor; saldırılar, meşru uzaktan yönetim ve bakım (RMM) yazılımını dağıtmak ve bu aracı, güvenliği ihlal edilmiş sistemlere Cobalt Strike Beacons, DiceLoader ve TrueBot gibi ek yükleri bırakmak için kullanmak üzere öncelikle silah haline getiriyor. sistemler.
Açıklama, siber güvenlik firması eSentire’in, bir XMRig kripto para madencisi bırakmak için CVE-2023–27350’nin istismarını içeren, isimsiz bir eğitim sektörü müşterisini hedef alan yeni bir faaliyeti ortaya çıkarmasıyla geldi.
PaperCut baskı yönetimi sunucularına yönelik saldırılar, İran devlet destekli tehdit grupları Mango Sandstorm (MuddyWater veya Mercury olarak da bilinir) ve Mint Sandstorm (Phosphorus olarak da bilinir) tarafından Microsoft’un geçen hafta ortaya çıkardı.