Microsoft, PaperCut sunucularına yönelik son saldırıları, güvenlik açıklarını kurumsal verileri çalmak için kullanan Clop ve LockBit fidye yazılımı operasyonlarına bağladı.
Geçen ay, PaperCut Uygulama Sunucusunda, uzaktaki saldırganların kimliği doğrulanmamış uzaktan kod yürütmesine ve bilgi ifşa etmesine izin veren iki güvenlik açığı giderildi:
- CVE-2023-27350 / ZDI-CAN-18987 / PO-1216: Hem uygulama hem de site sunucuları için tüm işletim sistemi platformlarında tüm PaperCut MF veya NG sürüm 8.0 veya sonraki sürümlerini etkileyen kimliği doğrulanmamış uzaktan kod yürütme kusuru. (CVSS v3.1 puanı: 9.8 – kritik)
- CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Uygulama sunucuları için tüm işletim sistemi platformlarında tüm PaperCut MF veya NG sürüm 15.0 veya sonraki sürümlerini etkileyen kimliği doğrulanmamış bilgi ifşa kusuru. (CVSS v3.1 puanı: 8.2 – yüksek)
19 Nisan’da PaperCut, bu kusurların vahşi ortamda aktif olarak kullanıldığını açıkladı ve yöneticileri sunucularını en son sürüme yükseltmeye çağırdı.
Birkaç gün sonra RCE kusuru için bir PoC istismarı yayınlandı ve daha fazla tehdit aktörünün bu açıkları kullanarak sunucuları ihlal etmesine izin verildi.
Saldırıların arkasındaki fidye yazılımı çeteleri
Microsoft bugün, bu PaperCut saldırılarının arkasında Clop ve LockBit fidye yazılımı çetelerinin olduğunu ve bunları savunmasız sunuculardan kurumsal verileri çalmak için kullandığını açıkladı.
PaperCut, tüm büyük yazıcı markaları ve platformlarıyla uyumlu bir baskı yönetimi yazılımıdır. Şirketin web sitesinde 100’den fazla ülkeden yüz milyonlarca insan tarafından kullanıldığını iddia ederek büyük şirketler, devlet kuruluşları ve eğitim kurumları tarafından kullanılıyor.
Çarşamba öğleden sonra yayınlanan bir dizi tweet’te Microsoft, son PaperCut saldırılarını Clop fidye yazılımı çetesine bağladığını belirtiyor.
“Microsoft, Clop fidye yazılımını sağlamak için baskı yönetimi yazılımı PaperCut’taki CVE-2023-27350 ve CVE-2023-27351 güvenlik açıklarından yararlanarak yakın zamanda bildirilen saldırıları, Lace Tempest olarak izlenen tehdit aktörüne bağlamaktadır (FIN11 ve TA505 ile çakışmaktadır),” tweet attı Microsoft’un Tehdit İstihbaratı araştırmacıları.
Microsoft, bu belirli tehdit aktörünü, her ikisi de Clop fidye yazılımı operasyonuyla bağlantılı olan ve etkinliği FIN11 ve TA505 ile örtüşen ‘Dantel Fırtınası’ olarak takip ediyor.
Microsoft, tehdit aktörünün kurumsal ağa ilk erişim için 13 Nisan’dan beri PaperCut güvenlik açıklarından yararlandığını söylüyor.
Sunucuya erişim sağladıktan sonra, daha önce Clop fidye yazılımı operasyonuyla bağlantılı olan TrueBot kötü amaçlı yazılımını dağıttılar.
Nihayetinde Microsoft, bir Cobalt Strike işaretçisinin konuşlandırıldığını ve MegaSync dosya paylaşım uygulamasını kullanarak verileri çalarken ağ üzerinden yanal olarak yayılmak için kullanıldığını söylüyor.
Clop’a ek olarak Microsoft, bazı izinsiz girişlerin LockBit fidye yazılımı saldırılarına yol açtığını söylüyor. Ancak, bu saldırıların açıklardan yararlanmanın kamuya açıklanmasından sonra başlayıp başlamadığı belli değil.
Microsoft, diğer tehdit aktörlerinin güvenlik açıklarından yararlanmaya başlaması muhtemel olduğundan, yöneticilerin mevcut yamaları mümkün olan en kısa sürede uygulamasını önerir.
Clop için ana hedef
PaperCut sunucularının istismarı, son üç yılda Clop fidye yazılımı çetesinde gördüğümüz genel bir modele uyuyor.
Clop operasyonu saldırılarda dosyaları şifrelemeye devam ederken, BleepingComputer’a şirketleri fidye ödemeleri için zorla almak için veri çalmayı tercih ettiklerini söylediler.
Taktiklerdeki bu değişiklik ilk olarak 2020’de Clop, yaklaşık 100 şirketten veri çalmak için bir Accellion FTA sıfır gün güvenlik açığından yararlandığında görüldü.
Clop çetesi yakın zamanda GoAnywhere MFT güvenli dosya paylaşım platformundaki sıfır gün güvenlik açıklarını kullanarak 130 şirketten veri çaldı.
PaperCut, sunucu aracılığıyla gönderilen tüm yazdırma işlerini ve belgeleri kaydeden bir “Baskı Arşivleme” özelliği içerir ve bu da onu operasyondan veri sızdırma saldırıları için iyi bir aday yapar.
PaperCut MF veya NG kullanan tüm kuruluşların, bu güvenlik açıklarını gidermek için hemen ve daha sonra 20.1.7, 21.2.11 ve 22.0.9 sürümlerine yükseltmeleri şiddetle tavsiye edilir.
BleepingComputer, bu saldırılar hakkında daha fazla soru sormak için Microsoft ile iletişime geçti ve bir yanıt alırsak makaleyi güncelleyecektir.