Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Clop ve LockBit Yamasız Yazdırma Yönetim Yazılımından Yararlandığını Tespit Etti
Bay Mihir (MihirBagwe), Prajeet Nair (@prajeetspeaks) •
27 Nisan 2023
Rusça konuşan Clop hizmet olarak fidye yazılımı çetesinin bir üyesi ve LockBit siber suç grubu, popüler baskı yönetimi yazılımlarındaki güvenlik açıklarından aktif olarak yararlanıyor.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
bilgi işlem devi söz konusu FIN11 olarak da bilinen Lace Tempest olarak tanımladığı Clop’a bağlı bir bilgisayar korsanlığı grubu, Avustralyalı PaperCut firması tarafından yapılan yazılımda yakın zamanda yamalanan iki güvenlik açığından yararlanan bir dizi saldırının arkasında.
PaperCut, Mart ayında yamalanan hatalardan yararlanan şüpheli faaliyetlere ilişkin müşteri raporları aldıktan sonra bu ayın başlarında müşterilerini yazılımlarını güncellemeye teşvik etmeye başladı.
Şirket, bilgisayar korsanlarının CVE-2023–27350 olarak izlenen PaperCut Uygulama Sunucusunda bir uzaktan kod yürütme hatası kullandığına dair en erken göstergenin 14 Nisan’da gerçekleştiğini söyledi. Microsoft, Lace Tempest’in PaperCut açıklarını 13 Nisan gibi erken bir tarihte saldırılara dahil ettiğini söyledi. .
Siber güvenlik firması Trend Micro, vahşi saldırıları tespit ettiğini söyledikten sonra yama uygulama tavsiyelerine aciliyet kattı. Perşembe günü yapılan bir güncellemede TrendMicro, LockBit fidye yazılımını dağıtmak için kusuru kullanan bilgisayar korsanlarını tespit ettiğini söyledi.
Redmond devi, Lace Tempest’in Clop fidye yazılımının öncüsü olduğu bilinen bir kötü amaçlı yazılım indiricisi olan Truebot’u kullandığını söyledi.
Fidye yazılımı çeteleri, PaperCut açığına atlayan tek bilgisayar korsanları değil. Huntress, bir Monero kripto madencisini dağıtmaya çalışan bir bilgisayar korsanı bulduğunu söyledi.
PaperCut’un Mart ayında yamaladığı tek hata, saldırılara yol açan uzaktan kod yürütme kusuru değildi. Ayrıca, şirketin “belirli koşullar altında” kimliği doğrulanmamış bir saldırganın, PaperCut yazılımında depolanan bir kullanıcı hakkında, PaperCut tarafından oluşturulan kullanıcılar için kullanıcı adları, tam adlar, e-posta adresleri ve karma şifreler dahil olmak üzere bilgileri çekmesine izin verdiğini söylediği bir kusur olan CVE-2023-27351’i de düzeltti. ancak Active Directory gibi kaynaklardan eşitlenen parola karmaları değil. PaperCut, bu güvenlik açığından yararlanıldığına dair bir kanıt olmadığını söyledi.