Microsoft ve Trend Micro araştırmacılarına göre, Clop ve LockBit fidye yazılımı bağlı kuruluşları, PaperCut uygulama sunucularındaki güvenlik açıklarından yararlanan son saldırıların arkasında.
Tespit edilen kampanyalar
“Microsoft, Clop fidye yazılımını sağlamak için baskı yönetimi yazılımı PaperCut’taki CVE-2023-27350 ve CVE-2023-27351 güvenlik açıklarından yararlanan yakın zamanda bildirilen saldırıları, Lace Tempest olarak izlenen tehdit aktörüne bağlamaktadır (FIN11 ve TA505 ile örtüşür),” Microsoft paylaşılan.
“Lace Tempest (DEV-0950), geçmiş fidye yazılımı kampanyalarında GoAnywhere açıkları ve Raspberry Robin bulaşma geçişleri kullanılarak gözlemlenen bir Clop fidye yazılımı üyesidir. Tehdit aktörü, PaperCut açıklarını 13 Nisan gibi erken bir tarihte saldırılarına dahil etti.”
Saldırganlar, LSASS kimlik bilgilerini çalmaya, Truebot indirici kötü amaçlı yazılımını ve bir Cobalt Strike Beacon implantını sunmaya çalışıyor. Windows Yönetim Araçları’nı (WMI) kullanarak hedeflerin ağı içinde yanal olarak hareket ederler ve MegaSync dosya paylaşım uygulaması aracılığıyla dosyaları sızdırırlar.
“Lockbit dağıtımına yol açan izinsiz girişler dahil olmak üzere bu güvenlik açıklarından yararlanan diğer saldırıları da izliyoruz. Daha fazla tehdit aktörü aynı şeyi yapabilir” uyarısında bulundular.
Trend Micro araştırmacıları, CVE-2023-27350’nin kullanılmasıyla başlayan bir Lockbit kampanyasını belgeledi.
Saldırganlar, istismar edilen uygulama aracılığıyla bir PowerShell betiği çalıştırır ve geçici bir barındırma sitesinden LockBit fidye yazılımını indirir.
Acil eylem gerekli
Clop ve LockBit hizmet olarak fidye yazılımı (RaaS) bağlı kuruluşları, en aktif beş fidye yazılımı tehdit aktörü arasındadır.
Microsoft, Clop bağlı kuruluşunun CVE-2023-27350 (bir RCE kusuru) ve CVE-2023-27351’den (bir bilgi ifşa kusuru) yararlandığını söylüyor. Trend Micro, LockBit bağlı kuruluşunun yalnızca birincisini kullandığını söylüyor.
Her durumda, yöneticilerin her ikisi için de düzeltmeleri olan sürümlerden birine yükseltmeleri önerilir: PaperCut MF ve NG sürümleri 20.1.7, 21.2.11 veya 22.0.9 – özellikle CVE-2023-27350 için bir PoC olduğundan halka açıkböylece daha fazla tehdit aktörü onu kullanmaya başlayabilir.
PaperCut, sunucularınızdan birinin güvenliğinin ihlal edildiğinden şüpheleniyorsanız ne yapmanız gerektiğine dair tavsiyeler yayınladı ve Trend Micro’nun Sıfır Gün Girişimi yayınladı Bu güvenlik açığından yararlanmaya karşı korunmaya yardımcı olabilecek kurallar ve filtreler.