آسیب پذیری های PaperCut وصله شده است

PaperCut، یک راه حل نرم افزار مدیریت چاپ محبوب، اخیراً با دو آسیب پذیری قابل توجهی روبرو شده است که باندهای باج افزار به طور فعال از آنها سوء استفاده می کنند. این آسیب‌پذیری‌ها اکنون توسط شرکت اصلاح شده‌اند تا خطرات احتمالی را از بین ببرند.

CVE-2023-27350: نقص اجرای کد از راه دور تأیید نشده

این آسیب پذیری دارای امتیاز CVSS v3.1 9.8 است که نشان دهنده سطح ریسک بحرانی است. نقص اجرای کد از راه دور تأیید نشده به مهاجمان این امکان را می‌دهد تا کد دلخواه را بر روی سیستم‌های آسیب‌پذیر بدون هیچ نوع احراز هویتی اجرا کنند و به آنها دسترسی نامحدود به داده‌های حساس و توانایی به خطر انداختن شبکه‌ها را می‌دهد. نگرانی‌های بیشتر به شدت این آسیب‌پذیری ، این واقعیت است که اثبات کد مفهومی منتشر شد، که دستورالعملی را برای مجرمان سایبری بیشتر فراهم می‌کند تا به راحتی از این نقص سوء استفاده کنند.

CVE-2023-27351: نقص افشای اطلاعات تایید نشده

دومین آسیب‌پذیری، CVE-2023-27351، دارای امتیاز CVSS v3.1 برابر با 8.2 است که ریسک بالایی در نظر گرفته می‌شود. این نقص امکان افشای اطلاعات غیرمجاز را فراهم می‌کرد، به این معنی که مهاجمان می‌توانستند به داده‌های حساس بدون نیاز به اعتبارنامه‌های معتبر دسترسی داشته باشند. بهره برداری از این آسیب پذیری مجرمان سایبری را قادر می سازد تا اطلاعات ارزشمندی به دست آورند و به طور بالقوه از آن برای حملات هدفمند دقیق تر استفاده کنند. اگرچه این آسیب‌پذیری به اندازه نقص اجرای کد از راه دور حیاتی نیست، اما همچنان تهدید قابل‌توجهی برای امنیت و حریم خصوصی کاربران است.

Proof of Concept Code منتشر شد

کد اثبات مفهوم (PoC) که در دسترس عموم قرار گرفت، خطرات مرتبط با این آسیب‌پذیری‌ها را افزایش داد. این کد PoC یک نقشه راه برای مهاجمان بالقوه ارائه می کند تا از این نقص ها حتی بدون دانش فنی گسترده سوء استفاده کنند. انتشار کد PoC یک شمشیر دو لبه است. در حالی که به گسترش آگاهی در مورد نقص های امنیتی کمک می کند و به محققان امنیتی کمک می کند تا وصله ها را توسعه دهند، همچنین به مهاجمان بالقوه طرحی برای انجام حملات ارائه می دهد. وصله‌های منتشر شده برای این آسیب‌پذیری‌ها برای تضمین امنیت کاربران PaperCut و شبکه‌های آن‌ها حیاتی هستند.

بازیگران مخرب از آسیب‌پذیری‌های PaperCut سوء استفاده می‌کنند

با مشخص شدن آسیب‌پذیری‌های PaperCut، باندهای مختلف باج‌افزار به سرعت شروع به بهره‌برداری فعال از آن‌ها کردند. از جمله این عوامل مخرب، گونه‌های باج‌افزار Lace Tempest و LockBit بودند که هر دو سرورهای PaperCut آسیب‌پذیر را هدف قرار می‌دهند تا به شبکه‌ها نفوذ کنند و بارهای باج‌افزار خود را مستقر کنند.

Lace Tempest (شرکت باج افزار Clop) سرورهای آسیب پذیر را هدف قرار می دهد

Lace Tempest، وابسته به گروه باج افزار معروف Clop ، یکی از اولین بازیگران مخربی بود که از آسیب پذیری های PaperCut سوء استفاده کرد. Lace Tempest با استفاده از اجرای کد از راه دور تأیید نشده و نقص های افشای اطلاعات، موفق شد سرورهای آسیب پذیر را به خطر بیاندازد و دسترسی نامحدود به داده ها و شبکه های حساس را به دست آورد. زمانی که Lace Tempest وارد این سیستم‌های آسیب‌دیده شد، باج‌افزار Clop را به کار گرفت، فایل‌ها را رمزگذاری کرد و برای آزاد کردن کلیدهای رمزگشایی درخواست باج کرد.

LockBit Ransomware Strain همچنین سرورهای PaperCut را هدف قرار می دهد

LockBit ، یکی دیگر از باج افزارهای بدنام، نیز به طور فعال از آسیب پذیری های سرور PaperCut سوء استفاده می کند. مشابه استراتژی Lace Tempest، LockBit از نقص های اجرای کد از راه دور و افشای اطلاعات تایید نشده برای نفوذ به سیستم های آسیب پذیر سوء استفاده کرد. با دسترسی به داده های حساس و شبکه های داخلی، LockBit بار باج افزار خود را مستقر کرد که منجر به فایل های رمزگذاری شده و درخواست باج شد. پذیرش سریع این آسیب‌پذیری‌ها توسط عوامل مخرب مانند LockBit و Lace Tempest، شدت این نقص‌های PaperCut را برجسته می‌کند و بر اهمیت اصلاح و به‌روزرسانی منظم نرم‌افزار برای محافظت در برابر تهدیدات سایبری تأکید می‌کند.

تاکتیک های حمله طوفان توری

Lace Tempest، وابسته به باج‌افزار Clop، تاکتیک‌های حمله منحصربه‌فرد خود را برای بهره‌برداری مؤثر از آسیب‌پذیری‌های سرور PaperCut توسعه داده است. Lace Tempest با استفاده از روش‌های پیچیده مانند دستورات PowerShell، اتصالات سرور فرمان و کنترل و Cobalt Strike Beacon با موفقیت به سیستم‌ها نفوذ کرده و بار باج‌افزار خود را تحویل داده است.

استفاده از دستورات PowerShell برای ارائه TrueBot DLL

حملات Lace Tempest اغلب با اجرای دستورات PowerShell آغاز می‌شوند که از آن برای تحویل فایل مخرب TrueBot DLL (کتابخانه پیوند پویا) به سیستم مورد نظر استفاده می‌کنند. این فایل DLL سپس بر روی سیستم بارگذاری می‌شود و به عنوان بلوک ساختمانی برای فعالیت‌های مخرب بیشتر، مانند برقراری اتصال به سرورهای فرمان و کنترل و دانلود اجزای بدافزار اضافی عمل می‌کند.

به یک سرور فرمان و کنترل متصل می شود

هنگامی که TrueBot DLL در جای خود قرار گرفت، بدافزار Lace Tempest به یک سرور فرمان و کنترل (C2) متصل می شود. این اتصال به مهاجمان اجازه می‌دهد تا دستورات را ارسال کرده و داده‌ها را از سیستم در معرض خطر دریافت کنند.

استفاده از Cobalt Strike Beacon برای تحویل باج افزار

Lace Tempest اغلب از Cobalt Strike Beacon به عنوان بخشی از زنجیره حمله خود استفاده می کند. Cobalt Strike یک ابزار تست نفوذ قانونی است که شامل یک عامل پس از بهره برداری به نام "Beacon" است. متأسفانه، مجرمان سایبری مانند Lace Tempest این ابزار را برای اهداف مخرب خود تغییر داده اند. در این مورد، آنها از Cobalt Strike Beacon برای تحویل باج افزار Clop به سیستم های هدف استفاده می کنند. هنگامی که باج‌افزار مستقر شد، فایل‌های موجود در سیستم را رمزگذاری می‌کند و برای کلیدهای رمزگشایی باج می‌خواهد و عملاً داده‌های قربانیان را گروگان نگه می‌دارد.

تغییر در عملیات باج افزار

در سال‌های اخیر تغییر محسوسی در عملیات باج‌افزارهایی مانند Clop صورت گرفته است. مهاجمان به جای تکیه بر رمزگذاری داده‌ها و درخواست باج برای کلیدهای رمزگشایی، اکنون سرقت داده‌های حساس را برای اهداف اخاذی در اولویت قرار داده‌اند. این تغییر در تاکتیک‌ها حملات سایبری را حتی تهدیدکننده‌تر کرده است، زیرا بازیگران مخرب اکنون می‌توانند از داده‌های دزدیده شده برای وادار کردن قربانیان به پرداخت باج استفاده کنند، حتی اگر استراتژی‌های پشتیبان درستی داشته باشند.

روی سرقت داده ها برای اخاذی تمرکز کنید

گروه‌های باج‌افزار دریافته‌اند که سرقت داده‌ها برای مقاصد اخاذی می‌تواند نتایج سودآورتری به همراه داشته باشد تا اینکه صرفاً به رمزگذاری برای گروگان نگه داشتن قربانیان اعتماد کنند. با استخراج اطلاعات حساس، مهاجمان اکنون می توانند تهدید به انتشار یا فروش داده های سرقت شده در وب تاریک کنند که به طور بالقوه باعث آسیب مالی و اعتبار قابل توجهی به سازمان ها می شود. این فشار اضافی، احتمال پرداخت باج های درخواست شده توسط قربانیان را افزایش می دهد.

اولویت بندی سرقت داده ها در حملات

در راستای این تغییر، گروه‌های باج‌افزاری مانند Lace Tempest شروع به اولویت‌بندی سرقت اطلاعات در حملات خود کرده‌اند. با توسعه تاکتیک‌های حمله پیچیده مانند استفاده از دستورات PowerShell، TrueBot DLL، و Cobalt Strike Beacon، این عوامل مخرب می‌توانند به سیستم‌های آسیب‌پذیر نفوذ کرده و داده‌ها را قبل از رمزگذاری آن‌ها استخراج کنند و به طور موثر شانس خود را برای اخاذی موفق افزایش دهند.

Clop Gang's History با بهره برداری از آسیب پذیری ها برای استخراج داده ها

باند Clop سابقه سوء استفاده از آسیب پذیری ها برای اهداف استخراج داده ها را دارد. به عنوان مثال، در سال 2020، عوامل Clop با موفقیت Global Accellion را هک کردند و با استفاده از آسیب‌پذیری‌های فاش شده در اپلیکیشن File Transfer Appliance شرکت، داده‌های تقریباً 100 شرکت را به سرقت بردند. اخیراً، باند Clop از آسیب‌پذیری‌های روز صفر در پلتفرم اشتراک‌گذاری فایل GoAnywhere MFT برای سرقت داده‌های 130 شرکت استفاده کرده است. این الگوی بهره‌برداری از آسیب‌پذیری‌ها برای سرقت داده، همراه با چشم‌انداز باج‌افزار در حال تحول، نیاز سازمان‌ها را به اتخاذ تدابیر امنیتی قوی و حفظ نرم‌افزار به‌روز برای محافظت از دارایی‌های حیاتی خود برجسته می‌کند.