آسیب پذیری های PaperCut وصله شده است
PaperCut، یک راه حل نرم افزار مدیریت چاپ محبوب، اخیراً با دو آسیب پذیری قابل توجهی روبرو شده است که باندهای باج افزار به طور فعال از آنها سوء استفاده می کنند. این آسیبپذیریها اکنون توسط شرکت اصلاح شدهاند تا خطرات احتمالی را از بین ببرند.
فهرست مطالب
CVE-2023-27350: نقص اجرای کد از راه دور تأیید نشده
این آسیب پذیری دارای امتیاز CVSS v3.1 9.8 است که نشان دهنده سطح ریسک بحرانی است. نقص اجرای کد از راه دور تأیید نشده به مهاجمان این امکان را میدهد تا کد دلخواه را بر روی سیستمهای آسیبپذیر بدون هیچ نوع احراز هویتی اجرا کنند و به آنها دسترسی نامحدود به دادههای حساس و توانایی به خطر انداختن شبکهها را میدهد. نگرانیهای بیشتر به شدت این آسیبپذیری ، این واقعیت است که اثبات کد مفهومی منتشر شد، که دستورالعملی را برای مجرمان سایبری بیشتر فراهم میکند تا به راحتی از این نقص سوء استفاده کنند.
CVE-2023-27351: نقص افشای اطلاعات تایید نشده
دومین آسیبپذیری، CVE-2023-27351، دارای امتیاز CVSS v3.1 برابر با 8.2 است که ریسک بالایی در نظر گرفته میشود. این نقص امکان افشای اطلاعات غیرمجاز را فراهم میکرد، به این معنی که مهاجمان میتوانستند به دادههای حساس بدون نیاز به اعتبارنامههای معتبر دسترسی داشته باشند. بهره برداری از این آسیب پذیری مجرمان سایبری را قادر می سازد تا اطلاعات ارزشمندی به دست آورند و به طور بالقوه از آن برای حملات هدفمند دقیق تر استفاده کنند. اگرچه این آسیبپذیری به اندازه نقص اجرای کد از راه دور حیاتی نیست، اما همچنان تهدید قابلتوجهی برای امنیت و حریم خصوصی کاربران است.
Proof of Concept Code منتشر شد
کد اثبات مفهوم (PoC) که در دسترس عموم قرار گرفت، خطرات مرتبط با این آسیبپذیریها را افزایش داد. این کد PoC یک نقشه راه برای مهاجمان بالقوه ارائه می کند تا از این نقص ها حتی بدون دانش فنی گسترده سوء استفاده کنند. انتشار کد PoC یک شمشیر دو لبه است. در حالی که به گسترش آگاهی در مورد نقص های امنیتی کمک می کند و به محققان امنیتی کمک می کند تا وصله ها را توسعه دهند، همچنین به مهاجمان بالقوه طرحی برای انجام حملات ارائه می دهد. وصلههای منتشر شده برای این آسیبپذیریها برای تضمین امنیت کاربران PaperCut و شبکههای آنها حیاتی هستند.
بازیگران مخرب از آسیبپذیریهای PaperCut سوء استفاده میکنند
با مشخص شدن آسیبپذیریهای PaperCut، باندهای مختلف باجافزار به سرعت شروع به بهرهبرداری فعال از آنها کردند. از جمله این عوامل مخرب، گونههای باجافزار Lace Tempest و LockBit بودند که هر دو سرورهای PaperCut آسیبپذیر را هدف قرار میدهند تا به شبکهها نفوذ کنند و بارهای باجافزار خود را مستقر کنند.
Lace Tempest (شرکت باج افزار Clop) سرورهای آسیب پذیر را هدف قرار می دهد
Lace Tempest، وابسته به گروه باج افزار معروف Clop ، یکی از اولین بازیگران مخربی بود که از آسیب پذیری های PaperCut سوء استفاده کرد. Lace Tempest با استفاده از اجرای کد از راه دور تأیید نشده و نقص های افشای اطلاعات، موفق شد سرورهای آسیب پذیر را به خطر بیاندازد و دسترسی نامحدود به داده ها و شبکه های حساس را به دست آورد. زمانی که Lace Tempest وارد این سیستمهای آسیبدیده شد، باجافزار Clop را به کار گرفت، فایلها را رمزگذاری کرد و برای آزاد کردن کلیدهای رمزگشایی درخواست باج کرد.
LockBit Ransomware Strain همچنین سرورهای PaperCut را هدف قرار می دهد
LockBit ، یکی دیگر از باج افزارهای بدنام، نیز به طور فعال از آسیب پذیری های سرور PaperCut سوء استفاده می کند. مشابه استراتژی Lace Tempest، LockBit از نقص های اجرای کد از راه دور و افشای اطلاعات تایید نشده برای نفوذ به سیستم های آسیب پذیر سوء استفاده کرد. با دسترسی به داده های حساس و شبکه های داخلی، LockBit بار باج افزار خود را مستقر کرد که منجر به فایل های رمزگذاری شده و درخواست باج شد. پذیرش سریع این آسیبپذیریها توسط عوامل مخرب مانند LockBit و Lace Tempest، شدت این نقصهای PaperCut را برجسته میکند و بر اهمیت اصلاح و بهروزرسانی منظم نرمافزار برای محافظت در برابر تهدیدات سایبری تأکید میکند.
تاکتیک های حمله طوفان توری
Lace Tempest، وابسته به باجافزار Clop، تاکتیکهای حمله منحصربهفرد خود را برای بهرهبرداری مؤثر از آسیبپذیریهای سرور PaperCut توسعه داده است. Lace Tempest با استفاده از روشهای پیچیده مانند دستورات PowerShell، اتصالات سرور فرمان و کنترل و Cobalt Strike Beacon با موفقیت به سیستمها نفوذ کرده و بار باجافزار خود را تحویل داده است.
استفاده از دستورات PowerShell برای ارائه TrueBot DLL
حملات Lace Tempest اغلب با اجرای دستورات PowerShell آغاز میشوند که از آن برای تحویل فایل مخرب TrueBot DLL (کتابخانه پیوند پویا) به سیستم مورد نظر استفاده میکنند. این فایل DLL سپس بر روی سیستم بارگذاری میشود و به عنوان بلوک ساختمانی برای فعالیتهای مخرب بیشتر، مانند برقراری اتصال به سرورهای فرمان و کنترل و دانلود اجزای بدافزار اضافی عمل میکند.
به یک سرور فرمان و کنترل متصل می شود
هنگامی که TrueBot DLL در جای خود قرار گرفت، بدافزار Lace Tempest به یک سرور فرمان و کنترل (C2) متصل می شود. این اتصال به مهاجمان اجازه میدهد تا دستورات را ارسال کرده و دادهها را از سیستم در معرض خطر دریافت کنند.
استفاده از Cobalt Strike Beacon برای تحویل باج افزار
Lace Tempest اغلب از Cobalt Strike Beacon به عنوان بخشی از زنجیره حمله خود استفاده می کند. Cobalt Strike یک ابزار تست نفوذ قانونی است که شامل یک عامل پس از بهره برداری به نام "Beacon" است. متأسفانه، مجرمان سایبری مانند Lace Tempest این ابزار را برای اهداف مخرب خود تغییر داده اند. در این مورد، آنها از Cobalt Strike Beacon برای تحویل باج افزار Clop به سیستم های هدف استفاده می کنند. هنگامی که باجافزار مستقر شد، فایلهای موجود در سیستم را رمزگذاری میکند و برای کلیدهای رمزگشایی باج میخواهد و عملاً دادههای قربانیان را گروگان نگه میدارد.
تغییر در عملیات باج افزار
در سالهای اخیر تغییر محسوسی در عملیات باجافزارهایی مانند Clop صورت گرفته است. مهاجمان به جای تکیه بر رمزگذاری دادهها و درخواست باج برای کلیدهای رمزگشایی، اکنون سرقت دادههای حساس را برای اهداف اخاذی در اولویت قرار دادهاند. این تغییر در تاکتیکها حملات سایبری را حتی تهدیدکنندهتر کرده است، زیرا بازیگران مخرب اکنون میتوانند از دادههای دزدیده شده برای وادار کردن قربانیان به پرداخت باج استفاده کنند، حتی اگر استراتژیهای پشتیبان درستی داشته باشند.
روی سرقت داده ها برای اخاذی تمرکز کنید
گروههای باجافزار دریافتهاند که سرقت دادهها برای مقاصد اخاذی میتواند نتایج سودآورتری به همراه داشته باشد تا اینکه صرفاً به رمزگذاری برای گروگان نگه داشتن قربانیان اعتماد کنند. با استخراج اطلاعات حساس، مهاجمان اکنون می توانند تهدید به انتشار یا فروش داده های سرقت شده در وب تاریک کنند که به طور بالقوه باعث آسیب مالی و اعتبار قابل توجهی به سازمان ها می شود. این فشار اضافی، احتمال پرداخت باج های درخواست شده توسط قربانیان را افزایش می دهد.
اولویت بندی سرقت داده ها در حملات
در راستای این تغییر، گروههای باجافزاری مانند Lace Tempest شروع به اولویتبندی سرقت اطلاعات در حملات خود کردهاند. با توسعه تاکتیکهای حمله پیچیده مانند استفاده از دستورات PowerShell، TrueBot DLL، و Cobalt Strike Beacon، این عوامل مخرب میتوانند به سیستمهای آسیبپذیر نفوذ کرده و دادهها را قبل از رمزگذاری آنها استخراج کنند و به طور موثر شانس خود را برای اخاذی موفق افزایش دهند.
Clop Gang's History با بهره برداری از آسیب پذیری ها برای استخراج داده ها
باند Clop سابقه سوء استفاده از آسیب پذیری ها برای اهداف استخراج داده ها را دارد. به عنوان مثال، در سال 2020، عوامل Clop با موفقیت Global Accellion را هک کردند و با استفاده از آسیبپذیریهای فاش شده در اپلیکیشن File Transfer Appliance شرکت، دادههای تقریباً 100 شرکت را به سرقت بردند. اخیراً، باند Clop از آسیبپذیریهای روز صفر در پلتفرم اشتراکگذاری فایل GoAnywhere MFT برای سرقت دادههای 130 شرکت استفاده کرده است. این الگوی بهرهبرداری از آسیبپذیریها برای سرقت داده، همراه با چشمانداز باجافزار در حال تحول، نیاز سازمانها را به اتخاذ تدابیر امنیتی قوی و حفظ نرمافزار بهروز برای محافظت از داراییهای حیاتی خود برجسته میکند.