Pataisytos „PaperCut“ pažeidžiamumo vietos
Populiarus spausdinimo valdymo programinės įrangos sprendimas „PaperCut“ neseniai susidūrė su dviem reikšmingais pažeidžiamumais, kuriais aktyviai naudojosi išpirkos reikalaujančių programų grupės. Šiuos pažeidžiamumus bendrovė dabar pataisė, kad pašalintų galimą riziką.
Turinys
CVE-2023-27350: neautentifikuotas nuotolinio kodo vykdymo trūkumas
Šio pažeidžiamumo CVSS v3.1 balas yra 9,8, o tai rodo kritinį rizikos lygį. Neautentifikuoto nuotolinio kodo vykdymo klaida leido užpuolikams vykdyti savavališką kodą pažeidžiamose sistemose be jokio autentifikavimo, suteikdama jiems neribotą prieigą prie jautrių duomenų ir galimybę pažeisti tinklus. Susirūpinimą dėl šio pažeidžiamumo dar labiau padidina tai, kad buvo išleistas koncepcijos kodo įrodymas, nurodantis daugiau kibernetinių nusikaltėlių, kaip lengvai pasinaudoti šia klaida.
CVE-2023-27351: Neautentifikuotos informacijos atskleidimo klaida
Antrojo pažeidžiamumo CVE-2023-27351 CVSS v3.1 balas yra 8,2, o tai laikoma didele rizika. Ši klaida leido atskleisti neautentifikuotą informaciją, o tai reiškia, kad užpuolikai galėjo pasiekti neskelbtinus duomenis nereikalaujant galiojančių kredencialų. Išnaudojus šį pažeidžiamumą kibernetiniai nusikaltėliai galėtų gauti vertingos informacijos ir galbūt panaudoti ją tikslesnėms tikslinėms atakoms. Nors šis pažeidžiamumas nėra toks svarbus kaip nuotolinio kodo vykdymo trūkumas, jis vis tiek kėlė didelę grėsmę vartotojų saugumui ir privatumui.
Išleistas koncepcijos įrodymo kodas
Visuomenei paskelbtas koncepcijos įrodymo (PoC) kodas padidino su šiais pažeidžiamumu susijusią riziką. Šis PoC kodas suteikė planą potencialiems užpuolikams išnaudoti šiuos trūkumus net ir be didelių techninių žinių. PoC kodo išleidimas yra dviašmenis kardas; Nors ji padeda skleisti informuotumą apie saugumo trūkumus ir padeda saugumo tyrinėtojams kurti pataisas, ji taip pat suteikia potencialiems užpuolikams planą, kaip vykdyti atakas. Šių spragų pataisos yra labai svarbios siekiant užtikrinti PaperCut vartotojų ir jų tinklų saugumą.
Kenkėjiški veikėjai, išnaudojantys PaperCut pažeidžiamumą
Paaiškėjus „PaperCut“ pažeidžiamumui, įvairios „ransomware“ gaujos greitai pradėjo aktyviai jas išnaudoti. Tarp šių kenkėjiškų veikėjų buvo Lace Tempest ir LockBit išpirkos reikalaujančios programinės įrangos padermės, kurios abi taikosi į pažeidžiamus PaperCut serverius, kad įsiskverbtų į tinklus ir dislokuotų jų išpirkos reikalaujančias programas.
„Lace Tempest“ („Clop Ransomware“ filialas), skirtas pažeidžiamiems serveriams
„Lace Tempest“, gerai žinomos „Clop“ išpirkos programų grupės filialas, buvo vienas pirmųjų kenkėjiškų veikėjų, išnaudojusių „PaperCut“ pažeidžiamumą. Naudodama neautentifikuoto nuotolinio kodo vykdymo ir informacijos atskleidimo trūkumus, Lace Tempest sugebėjo pažeisti pažeidžiamus serverius ir gauti neribotą prieigą prie jautrių duomenų ir tinklų. Patekęs į šias pažeistas sistemas, Lace Tempest įdiegė Clop išpirkos reikalaujančią programinę įrangą, šifruodama failus ir reikalaudama išpirkos, kad būtų išleisti iššifravimo raktai.
„LockBit Ransomware Strein“ taip pat taikoma „PaperCut“ serveriams
„LockBit“ – kita liūdnai pagarsėjusi išpirkos reikalaujančių programų atmaina, taip pat aktyviai naudojasi „PaperCut“ serverio pažeidžiamumu. Panašiai kaip Lace Tempest strategija, LockBit išnaudojo neautentifikuoto nuotolinio kodo vykdymo ir informacijos atskleidimo trūkumus, kad įsiskverbtų į pažeidžiamas sistemas. Turėdama prieigą prie neskelbtinų duomenų ir vidinių tinklų, „LockBit“ įdiegė išpirkos reikalaujančią programinę įrangą, todėl buvo užšifruoti failai ir reikalaujama išpirkos. Tai, kad kenkėjiški veikėjai, tokie kaip „LockBit“ ir „Lace Tempest“, greitai panaudojo šias pažeidžiamumas, išryškina šių „PaperCut“ trūkumų rimtumą ir pabrėžia, kad svarbu reguliariai pataisyti ir atnaujinti programinę įrangą, siekiant apsisaugoti nuo kibernetinių grėsmių.
Lace Tempest Attack Taktika
„Clop ransomware“ filialas „Lace Tempest“ sukūrė savo unikalią atakų taktiką, kad efektyviai išnaudotų „PaperCut“ serverio spragas. Naudodama sudėtingus metodus, tokius kaip „PowerShell“ komandos, komandų ir valdymo serverio jungtys bei „Cobalt Strike Beacon“, „Lace Tempest“ sėkmingai įsiskverbė į sistemas ir pristatė išpirkos reikalaujančią programinę įrangą.
„PowerShell“ komandų naudojimas „TrueBot DLL“ pristatymui
Lace Tempest atakos dažnai prasideda vykdant PowerShell komandas, kurias jos naudoja kenkėjiškam TrueBot DLL (dinaminės nuorodos bibliotekos) failui pristatyti į tikslinę sistemą. Tada šis DLL failas įkeliamas į sistemą ir naudojamas kaip tolesnių kenkėjiškų veiksmų, pvz., ryšių su komandų ir valdymo serveriais užmezgimas ir papildomų kenkėjiškų programų komponentų atsisiuntimas, blokas.
Prisijungia prie komandų ir valdymo serverio
Įdiegus „TrueBot DLL“, „Lace Tempest“ kenkėjiška programa prisijungia prie komandų ir valdymo (C2) serverio. Šis ryšys leidžia užpuolikams siųsti komandas ir gauti duomenis iš pažeistos sistemos, palengvindamas duomenų išfiltravimą ir įgalindamas įdiegti papildomus kenkėjiškų programų komponentus ar įrankius, tokius kaip Cobalt Strike Beacon.
„Cobalt Strike Beacon“ naudojimas išpirkos reikalaujančių programų pristatymui
Lace Tempest dažnai naudoja Cobalt Strike Beacon kaip savo puolimo grandinės dalį. „Cobalt Strike“ yra teisėtas įsiskverbimo tikrinimo įrankis, kuris apima agentą po išnaudojimo, vadinamą „Švyturiu“. Deja, kibernetiniai nusikaltėliai, tokie kaip Lace Tempest, panaudojo šį įrankį savo kenkėjiškiems tikslams. Šiuo atveju jie naudoja „Cobalt Strike Beacon“, kad pristatytų „Clop“ išpirkos reikalaujančias programas į tikslines sistemas. Įdiegus išpirkos reikalaujančią programinę įrangą, ji užšifruoja sistemoje esančius failus ir reikalauja išpirkos už iššifravimo raktus, taip veiksmingai laikydamas aukų duomenis įkaitais.
„Ransomware“ operacijų pakeitimas
Pastaraisiais metais pastebimas ransomware gaujų, tokių kaip Clop, veiklos pokytis. Užuot pasikliavę vien duomenų šifravimu ir reikalaudami išpirkų už iššifravimo raktus, užpuolikai dabar pirmenybę teikia neskelbtinų duomenų vagystei turto prievartavimo tikslais. Dėl šio taktikos pakeitimo kibernetinės atakos tapo dar grėsmingesnės, nes piktybiniai veikėjai dabar gali panaudoti pavogtus duomenis, kad priverstų aukas mokėti išpirkas, net jei jos turi patikimas atsargines strategijas.
Sutelkite dėmesį į duomenų vagystę turto prievartavimui
Ransomware gaujos suprato, kad duomenų vagystė turto prievartavimo tikslais gali duoti pelningesnių rezultatų, nei tiesiog pasikliauti šifravimu, kad aukas būtų įkaitais. Išfiltravę neskelbtiną informaciją, užpuolikai dabar gali grasinti paskelbti arba parduoti pavogtus duomenis tamsiajame žiniatinklyje, o tai gali sukelti didelę finansinę ir reputaciją organizacijoms. Šis papildomas spaudimas padidina tikimybę, kad aukos sumokės reikalaujamas išpirkas.
Pirmenybė teikiama duomenų vagystėms atakų metu
Atsižvelgdamos į šį pokytį, išpirkos reikalaujančios gaujos, tokios kaip Lace Tempest, savo atakose pradėjo teikti pirmenybę duomenų vagystėms. Kurdami sudėtingas atakų taktikas, pvz., naudodami PowerShell komandas, „TrueBot DLL“ ir „Cobalt Strike Beacon“, šie kenkėjiški veikėjai gali įsiskverbti į pažeidžiamas sistemas ir išfiltruoti duomenis prieš juos užšifruodami, taip padidindami sėkmingo turto prievartavimo galimybes.
„Clop Gang“ istorija naudojant duomenų išfiltravimo pažeidžiamumą
„Clop“ gauja išnaudojo pažeidžiamumą duomenų išfiltravimo tikslais. Pavyzdžiui, 2020 m. „Clop“ darbuotojai sėkmingai įsilaužė į „Global Accellion“ ir pavogė duomenis iš maždaug 100 įmonių, naudodamiesi atskleistomis bendrovės „File Transfer Appliance“ programos pažeidžiamumu. Visai neseniai Clop gauja panaudojo nulinės dienos pažeidžiamumą GoAnywhere MFT saugioje failų dalijimosi platformoje, kad pavogtų duomenis iš 130 įmonių. Šis pažeidžiamumų panaudojimo duomenų vagystėms modelis kartu su nuolat besivystančia išpirkos reikalaujančių programų aplinka pabrėžia, kad organizacijos turi imtis tvirtų saugumo priemonių ir palaikyti atnaujintą programinę įrangą, kad apsaugotų savo svarbiausią turtą.