Microsoft, İran devlet destekli bilgisayar korsanlarının savunmasız PaperCut MF/NG baskı yönetimi sunucularını hedef alan devam eden saldırıya katıldığını söyledi.
Bu gruplar Mango Sandstorm (Merkür veya Muddywater olarak da bilinir ve İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılıdır) ve Mint Sandstorm (Fosfor veya APT35 olarak da bilinir ve İran İslam Devrim Muhafızları Birliğine bağlıdır) olarak izlenir.
Microsoft Tehdit İstihbaratı ekibi, “Mint Sandstorm’un PaperCut istismar faaliyeti fırsatçı görünüyor ve farklı sektörlerdeki ve coğrafyalardaki kuruluşları etkiliyor” dedi. söz konusu.
“Mango Sandstorm tarafından gözlemlenen CVE-2023-27350 istismar etkinliği, operatörlerin C2 altyapılarına bağlanmak için önceki izinsiz girişlerden gelen araçları kullanması nedeniyle düşük seviyede.”
Kötü niyetli faaliyetleri Clop fidye yazılımı operasyonuna bağlı FIN11 ve TA505 siber suç çeteleriyle örtüşen bir bilgisayar korsanlığı grubu olan Microsoft’un Lace Tempest ile bağlantılı saldırılarını takip ediyorlar.
Redmond ayrıca bazı izinsiz girişlerin LockBit fidye yazılımı saldırılarına yol açtığını ancak ek ayrıntıları paylaşması istendiğinde daha fazla bilgi veremediğini de tespit etti.
CISA, bu hatayı 21 Nisan’da aktif olarak yararlanılan güvenlik açıkları kataloğuna ekledi ve federal kurumlara PaperCut sunucularını 12 Mayıs 2023’e kadar üç hafta içinde güvence altına alma emri verdi.
Lace Tempest’i en son bildirdiğimizden bu yana daha fazla aktör, baskı yönetimi yazılımı Papercut’ta yamalı CVE-2023-27350’den yararlanıyor. Microsoft şimdi İran devlet destekli tehdit aktörleri Mint Sandstorm (PHOSPHORUS) ve Mango Sandstorm’un (MERCURY) CVE-2023-27350’den yararlandığını gözlemledi.
— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 5 Mayıs 2023
Bu saldırılarda yararlanılan ve CVE-2023-27350 olarak izlenen PaperCut güvenlik açığı, PaperCut MF veya NG sürüm 8.0 veya sonraki sürümlerinde kimlik doğrulama öncesi kritik bir uzaktan kod yürütme hatasıdır.
PaperCut’un geliştiricisinin 70.000’den fazla şirketten 100 milyondan fazla kullanıcısı olduğu iddiasıyla dünya çapındaki büyük şirketler, devlet kuruluşları ve eğitim kurumları bu kurumsal baskı yönetimi yazılımını kullanıyor.
Güvenlik araştırmacıları, Mart 2023’teki ilk açıklamadan kısa bir süre sonra RCE hatası için PoC istismarlarını yayınladı ve Microsoft, birkaç gün sonra güvenlik açığının Clop ve LockBit fidye yazılımı çeteleri tarafından kurumsal ağlara ilk erişim için kullanıldığı konusunda uyarıda bulundu.
Çok sayıda siber güvenlik şirketi, PaperCut açıkları için uzlaşma ve tespit kuralları göstergelerini yayınlarken, VulnCheck geçen hafta mevcut tespitleri atlayarak saldırganların CVE-2023-27350’den yararlanmaya devam etmesine olanak tanıyan yeni bir saldırı yöntemiyle ilgili ayrıntıları paylaştı.
VulnCheck güvenlik açığı araştırmacısı Jacob Baines, “Belirli bir kod yürütme yöntemine veya bir tehdit aktörü tarafından kullanılan küçük bir teknik alt kümesine odaklanan tespitler, bir sonraki saldırı turunda işe yaramaz olmaya mahkumdur.” Dedi.
“Saldırganlar, savunucuların kamuya açık algılamalarından ders çıkarır, bu nedenle, kolayca atlanamayacak sağlam algılamalar üretmek savunucuların sorumluluğundadır.”
Savunucuların, PaperCut MF ve PaperCut NG yazılımlarını, bu RCE hatasını gideren ve saldırı vektörünü ortadan kaldıran 20.1.7, 21.2.11 ve 22.0.9 ve sonraki sürümlere hemen yükseltmeleri önerilir.