A PaperCut sebezhetőségei javítva
A PaperCut, egy népszerű nyomtatáskezelő szoftver, a közelmúltban két jelentős sérülékenységgel szembesült, amelyeket a ransomware-bandák aktívan kihasználtak. Ezeket a sebezhetőségeket a vállalat most befoltozta, hogy kiküszöbölje a lehetséges kockázatokat.
Tartalomjegyzék
CVE-2023-27350: Hitelesítetlen távoli kódvégrehajtási hiba
Ennek a sérülékenységnek a CVSS v3.1 pontszáma 9,8, ami kritikus kockázati szintet jelez. A nem hitelesített távoli kódvégrehajtási hiba lehetővé tette a támadók számára, hogy tetszőleges kódot hajtsanak végre a sebezhető rendszereken bármilyen típusú hitelesítés nélkül, így korlátlanul hozzáférhetnek az érzékeny adatokhoz, és lehetővé tették a hálózatok feltörését. A sérülékenység súlyosságát tovább aggályosítja az a tény, hogy megjelent a proof of concept kód, amely iránymutatást ad több kiberbûnözõ számára, hogy könnyen kihasználhassák ezt a hibát.
CVE-2023-27351: Hitelesítetlen információközlési hiba
A második sebezhetőség, a CVE-2023-27351 CVSS v3.1 pontszáma 8,2, ami nagy kockázatnak számít. Ez a hiba lehetővé tette az információk hitelesítését, ami azt jelenti, hogy a támadók érvényes hitelesítő adatok nélkül is hozzáférhettek az érzékeny adatokhoz. A biztonsági rés kihasználása lehetővé tenné a kiberbűnözők számára, hogy értékes információkhoz juthassanak, és azokat pontosabban célzott támadásokhoz használhassák fel. Bár nem olyan kritikus, mint a távoli kódfuttatási hiba, ez a sérülékenység továbbra is jelentős fenyegetést jelent a felhasználók biztonságára és magánéletére nézve.
Megjelent a Proof of Concept Code
A nyilvánosság számára elérhető proof of concept (PoC) kód növelte az ezekkel a sérülékenységekkel kapcsolatos kockázatokat. Ez a PoC-kód útitervet adott a potenciális támadóknak, hogy széleskörű műszaki ismeretek nélkül is kihasználják ezeket a hibákat. A PoC kód kiadása kétélű fegyver; miközben segít a biztonsági hibákkal kapcsolatos tudatosság terjesztésében, és segíti a biztonsági kutatókat javítások kidolgozásában, ugyanakkor a leendő támadóknak is vázlatot ad a támadások végrehajtásához. A biztonsági résekhez kiadott javítások kritikusak a PaperCut-felhasználók és hálózataik biztonsága szempontjából.
Rosszindulatú szereplők, akik kihasználják a PaperCut sebezhetőségeit
Ahogy a PaperCut sebezhetőségei ismertté váltak, a különböző ransomware bandák gyorsan elkezdték aktívan kihasználni azokat. A rosszindulatú szereplők között szerepelt a Lace Tempest és a LockBit ransomware törzs is, amelyek a sebezhető PaperCut szervereket célozták meg, hogy beszivárogjanak a hálózatokba és telepítsék zsarolóprogramjaikat.
Lace Tempest (Clop Ransomware Affiliate) Sebezhető szerverek megcélzása
A Lace Tempest, a jól ismert Clop ransomware csoport leányvállalata volt az egyik első rosszindulatú szereplő, aki kihasználta a PaperCut sebezhetőségét. A nem hitelesített távoli kódvégrehajtási és információközlési hibák használatával a Lace Tempestnek sikerült feltörnie a sebezhető szervereket, korlátlan hozzáférést nyerve érzékeny adatokhoz és hálózatokhoz. Miután bekerült ezekbe a kompromittált rendszerekbe, a Lace Tempest Clop ransomware-t telepített, titkosította a fájlokat, és váltságdíjat követelt a visszafejtési kulcsok felszabadítása érdekében.
A LockBit Ransomware törzs a PaperCut szervereket is megcélozza
A LockBit , egy másik hírhedt ransomware törzs, szintén aktívan kihasználta a PaperCut szerver sebezhetőségeit. A Lace Tempest stratégiájához hasonlóan a LockBit kihasználta a nem hitelesített távoli kódvégrehajtási és információközlési hibákat, hogy behatoljon a sebezhető rendszerekbe. Az érzékeny adatokhoz és a belső hálózatokhoz való hozzáféréssel a LockBit bevezette a zsarolóvírus-terhelést, ami titkosított fájlokhoz és váltságdíj-követelésekhez vezetett. E sebezhetőségek rosszindulatú szereplők, például a LockBit és a Lace Tempest általi gyors elfogadása rávilágít a PaperCut hibáinak súlyosságára, és hangsúlyozza a szoftverek rendszeres javításának és frissítésének fontosságát a kiberfenyegetésekkel szembeni védelem érdekében.
Lace Tempest Attack Tactics
A Lace Tempest, a Clop ransomware leányvállalata kifejlesztette egyedi támadási taktikáját a PaperCut szerver sebezhetőségeinek hatékony kihasználására. Az olyan kifinomult módszerek alkalmazásával, mint a PowerShell-parancsok, a parancs- és vezérlőszerver-kapcsolatok, valamint a Cobalt Strike Beacon, a Lace Tempest sikeresen behatolt a rendszerekbe, és szállította a zsarolóvírus hasznos terhét.
PowerShell-parancsok használata a TrueBot DLL kézbesítéséhez
A Lace Tempest támadásai gyakran PowerShell-parancsok végrehajtásával kezdődnek, amelyek segítségével rosszindulatú TrueBot DLL (Dynamic Link Library) fájlokat juttat el a megcélzott rendszerhez. Ez a DLL-fájl ezután betöltődik a rendszerbe, és további rosszindulatú tevékenységek építőköveként szolgál, mint például a parancs- és vezérlőkiszolgálókkal való kapcsolatok létrehozása és további kártevő-összetevők letöltése.
Csatlakozik egy Command and Control szerverhez
Amint a TrueBot DLL a helyén van, a Lace Tempest rosszindulatú programja csatlakozik egy parancs- és vezérlőkiszolgálóhoz (C2). Ez a kapcsolat lehetővé teszi a támadók számára, hogy parancsokat küldjenek és adatokat fogadjanak a feltört rendszerből, megkönnyítve az adatok kiszűrését, és lehetővé téve további kártevő-összetevők vagy eszközök, például a Cobalt Strike Beacon telepítését.
Cobalt Strike Beacon használata zsarolóvírus-kézbesítéshez
A Lace Tempest gyakran használja a Cobalt Strike Beacon-t a támadási lánc részeként. A Cobalt Strike egy legitim behatolást vizsgáló eszköz, amely magában foglal egy „Beacon” nevű, kizsákmányolás utáni ügynököt. Sajnos az olyan internetes bûnözõk, mint a Lace Tempest, újrahasznosították ezt az eszközt rosszindulatú céljaik miatt. Ebben az esetben a Cobalt Strike Beacon segítségével juttatják el a Clop ransomware-t a megcélzott rendszerekhez. A zsarolóprogram telepítése után titkosítja a rendszeren lévő fájlokat, és váltságdíjat követel a visszafejtési kulcsokért, így gyakorlatilag túszul ejti az áldozatok adatait.
Változás a Ransomware műveletekben
Az elmúlt években észrevehető elmozdulás történt a ransomware bandák, például a Clop működésében. Ahelyett, hogy kizárólag az adatok titkosítására hagyatkoznának, és váltságdíjat követelnének a visszafejtési kulcsokért, a támadók most az érzékeny adatok zsarolási célú ellopását helyezik előtérbe. Ez a taktikai változás még fenyegetőbbé tette a kibertámadásokat, mivel a rosszindulatú szereplők az ellopott adatok segítségével váltságdíj fizetésére kényszeríthetik az áldozatokat, még akkor is, ha megbízható biztonsági stratégiákkal rendelkeznek.
Fókuszban az adatok zsarolás céljából történő ellopása
A zsarolóprogram-bandák rájöttek, hogy az adatok zsarolási célból történő ellopása jövedelmezőbb eredményeket hozhat, mint az áldozatok túszul ejtése egyszerű titkosítással. Az érzékeny információk kiszűrésével a támadók most azzal fenyegetőzhetnek, hogy közzéteszik vagy eladják az ellopott adatokat a sötét weben, ami jelentős anyagi és hírnév-károsodást okozhat a szervezeteknek. Ez a fokozott nyomás növeli annak valószínűségét, hogy az áldozatok kifizessék a követelt váltságdíjat.
Az adatlopás prioritása a támadásoknál
Ezzel a változással összhangban a ransomware bandák, mint például a Lace Tempest, elkezdték előnyben részesíteni az adatlopást támadásaikban. A kifinomult támadási taktikák kidolgozásával, például a PowerShell-parancsok, a TrueBot DLL és a Cobalt Strike Beacon használatával, ezek a rosszindulatú szereplők képesek behatolni a sebezhető rendszerekbe és kiszűrni az adatokat, mielőtt titkosítanák azokat, hatékonyan növelve a sikeres zsarolás esélyeit.
Clop Gang története az adatok kiszűrésére szolgáló biztonsági rések kihasználásával
A Clop banda korábban használta ki a sebezhetőségeket adatszivárgás céljából. 2020-ban például a Clop munkatársai sikeresen feltörték a Global Accelliont, és körülbelül 100 vállalattól loptak el adatokat a vállalat File Transfer Appliance alkalmazásának felfedett biztonsági réseit használva. A közelmúltban a Clop-banda a GoAnywhere MFT biztonságos fájlmegosztó platform nulladik napi sebezhetőségeit használta fel, hogy 130 cégtől lopjon el adatokat. A sérülékenységek adatlopásra való kihasználásának ez a mintája, a folyamatosan fejlődő zsarolóvírus-környezettel együtt rávilágít arra, hogy a szervezeteknek robusztus biztonsági intézkedéseket kell bevezetniük, és naprakész szoftvereket kell fenntartaniuk kritikus eszközeik védelme érdekében.