Уязвимостите на PaperCut са коригирани
PaperCut, популярно софтуерно решение за управление на печат, наскоро се сблъска с две значителни уязвимости, които групировките за рансъмуер активно експлоатираха. Тези уязвимости вече са коригирани от компанията, за да се премахнат потенциалните рискове.
Съдържание
CVE-2023-27350: Грешка при неавтентифицирано дистанционно изпълнение на код
Тази уязвимост има резултат от CVSS v3.1 от 9,8, което показва критично ниво на риск. Неудостовереният дефект при изпълнение на отдалечен код позволява на атакуващите да изпълняват произволен код на уязвими системи без какъвто и да е вид удостоверяване, което им дава неограничен достъп до чувствителни данни и възможността да компрометират мрежи. Добавяне на допълнителна загриженост към сериозността на тази уязвимост е фактът, че беше издаден код за доказателство за концептуален код, предоставящ насока за повече киберпрестъпници да използват лесно този недостатък.
CVE-2023-27351: Грешка при разкриване на неавтентифицирана информация
Втората уязвимост, CVE-2023-27351, има CVSS v3.1 резултат от 8.2, което се счита за висок риск. Този пропуск позволява разкриване на неудостоверена информация, което означава, че нападателите могат да имат достъп до чувствителни данни, без да се нуждаят от валидни идентификационни данни. Използването на тази уязвимост би позволило на киберпрестъпниците да получат ценна информация и потенциално да я използват за по-прецизни насочени атаки. Въпреки че не е толкова критичен, колкото пропуска при отдалечено изпълнение на код, тази уязвимост все пак представлява значителна заплаха за сигурността и поверителността на потребителите.
Издаден код за доказателство за концепцията
Кодът за доказателство на концепцията (PoC), предоставен на обществеността, увеличи рисковете, свързани с тези уязвимости. Този PoC код предостави пътна карта за потенциални нападатели да се възползват от тези недостатъци дори без обширни технически познания. Пускането на PoC код е нож с две остриета; докато помага за разпространението на осведомеността относно пропуските в сигурността и помага на изследователите в сигурността да разработят кръпки, то също така предоставя на потенциалните нападатели план за извършване на атаки. Издадените корекции за тези уязвимости са критични за гарантиране на сигурността на потребителите на PaperCut и техните мрежи.
Злонамерени участници, експлоатиращи уязвимости на PaperCut
След като уязвимостите на PaperCut станаха известни, различни банди за ransomware бързо започнаха активно да ги експлоатират. Сред тези злонамерени участници бяха щамовете Lace Tempest и LockBit рансъмуер, като и двата бяха насочени към уязвими сървъри на PaperCut, за да проникнат в мрежи и да разположат своите полезни натоварвания на рансъмуер.
Lace Tempest (партньор на Clop Ransomware), насочен към уязвими сървъри
Lace Tempest, филиал на добре известната група за рансъмуер Clop , беше един от първите злонамерени участници, които се възползваха от уязвимостите на PaperCut. Чрез използването на неудостоверено отдалечено изпълнение на код и пропуски в разкриването на информация, Lace Tempest успя да компрометира уязвими сървъри, получавайки неограничен достъп до чувствителни данни и мрежи. Веднъж попаднал в тези компрометирани системи, Lace Tempest внедри рансъмуер Clop, криптирайки файлове и изисквайки откуп за освобождаване на ключовете за декриптиране.
LockBit Ransomware щам също е насочен към PaperCut сървъри
LockBit , друг известен щам на рансъмуер, също активно използва уязвимостите на сървъра на PaperCut. Подобно на стратегията на Lace Tempest, LockBit използва неавтентифицираното отдалечено изпълнение на код и пропуските в разкриването на информация, за да проникне в уязвими системи. С достъп до чувствителни данни и вътрешни мрежи, LockBit разгърна своя рансъмуер, което доведе до криптирани файлове и искания за откуп. Бързото приемане на тези уязвимости от злонамерени участници като LockBit и Lace Tempest подчертава сериозността на тези недостатъци на PaperCut и подчертава важността на редовното коригиране и актуализиране на софтуера за защита срещу кибер заплахи.
Тактика за атака на Lace Tempest
Lace Tempest, филиалът на рансъмуера на Clop, разработи своя уникална тактика за атака, за да използва ефективно уязвимостите на сървъра на PaperCut. Чрез използване на усъвършенствани методи като команди на PowerShell, командни и контролни сървърни връзки и Cobalt Strike Beacon, Lace Tempest успешно проникна в системи и достави своя рансъмуер.
Използване на команди на PowerShell за доставяне на TrueBot DLL
Атаките на Lace Tempest често започват с изпълнението на команди на PowerShell, които те използват, за да доставят злонамерен TrueBot DLL (Dynamic Link Library) файл на целевата система. След това този DLL файл се зарежда в системата и служи като градивен елемент за по-нататъшни злонамерени дейности, като например установяване на връзки към командни и контролни сървъри и изтегляне на допълнителни компоненти на зловреден софтуер.
Свързва се към команден и контролен сървър
След като TrueBot DLL е на мястото си, зловредният софтуер на Lace Tempest се свързва със сървър за управление и управление (C2). Тази връзка позволява на атакуващите да изпращат команди и да получават данни от компрометираната система, улеснявайки източването на данни и позволявайки внедряването на допълнителни компоненти или инструменти за зловреден софтуер, като Cobalt Strike Beacon.
Използване на Cobalt Strike Beacon за доставка на рансъмуер
Lace Tempest често използва Cobalt Strike Beacon като част от своята верига за атака. Cobalt Strike е легитимен инструмент за тестване на проникване, който включва агент след експлоатация, наречен "Beacon". За съжаление, киберпрестъпници като Lace Tempest пренасочиха този инструмент за своите злонамерени цели. В този случай те използват Cobalt Strike Beacon, за да доставят Clop рансъмуер на целевите системи. След като рансъмуерът бъде внедрен, той криптира файлове в системата и изисква откуп за ключове за декриптиране, като ефективно държи данните на жертвите като заложници.
Промяна в операциите на рансъмуер
През последните години има забележима промяна в операциите на банди за рансъмуер, като Clop. Вместо да разчитат единствено на криптиране на данни и да искат откупи за ключове за декриптиране, нападателите сега дават приоритет на кражбата на чувствителни данни за целите на изнудването. Тази промяна в тактиката направи кибератаките още по-заплашителни, тъй като злонамерените участници вече могат да използват откраднатите данни, за да принудят жертвите да платят откупи, дори ако разполагат със стабилни резервни стратегии.
Съсредоточете се върху кражбата на данни за изнудване
Групите за рансъмуер осъзнаха, че кражбата на данни с цел изнудване може да доведе до по-доходоносни резултати от простото разчитане на криптиране за задържане на жертвите като заложници. Чрез ексфилтриране на чувствителна информация, нападателите вече могат да заплашват да публикуват или продадат откраднатите данни в тъмната мрежа, като потенциално причиняват значителни финансови и репутационни щети на организациите. Този допълнителен натиск увеличава вероятността жертвите да платят исканите откупи.
Приоритетизиране на кражбата на данни при атаки
В съответствие с тази промяна банди за рансъмуер като Lace Tempest започнаха да дават приоритет на кражбата на данни в своите атаки. Чрез разработване на усъвършенствани тактики за атака, като използване на команди на PowerShell, TrueBot DLL и Cobalt Strike Beacon, тези злонамерени участници са в състояние да проникнат в уязвими системи и да ексфилтрират данни, преди да ги криптират, като ефективно увеличават шансовете си за успешно изнудване.
Историята на Clop Gang с използване на уязвимости за кражба на данни
Бандата Clop има история на използване на уязвимости за целите на кражбата на данни. Например през 2020 г. оперативните служители на Clop успешно хакнаха Global Accellion и откраднаха данни от приблизително 100 компании, използвайки разкрити уязвимости в приложението на File Transfer Appliance на компанията. Съвсем наскоро бандата на Clop използва уязвимости от нулевия ден в защитената платформа за споделяне на файлове GoAnywhere MFT, за да открадне данни от 130 компании. Този модел на използване на уязвимости за кражба на данни, съчетан с непрекъснато развиващия се пейзаж на ransomware, подчертава необходимостта организациите да приемат стабилни мерки за сигурност и да поддържат актуален софтуер, за да защитят своите критични активи.