Kerentanan PaperCut Ditambal
PaperCut, penyelesaian perisian pengurusan cetak yang popular, baru-baru ini menghadapi dua kelemahan ketara yang dieksploitasi secara aktif oleh kumpulan perisian tebusan. Kelemahan ini kini telah ditambal oleh syarikat untuk menghapuskan potensi risiko.
Isi kandungan
CVE-2023-27350: Cacat Pelaksanaan Kod Jauh Tidak Disahkan
Kerentanan ini mempunyai skor CVSS v3.1 sebanyak 9.8, menunjukkan tahap risiko kritikal. Kecacatan pelaksanaan kod jauh yang tidak disahkan membenarkan penyerang untuk melaksanakan kod sewenang-wenangnya pada sistem yang terdedah tanpa sebarang jenis pengesahan, memberikan mereka akses tanpa had kepada data sensitif dan keupayaan untuk menjejaskan rangkaian. Menambah kebimbangan lanjut mengenai keterukan kelemahan ini ialah fakta bahawa bukti kod konsep telah dikeluarkan, memberikan garis panduan untuk lebih ramai penjenayah siber mengeksploitasi kelemahan ini dengan mudah.
CVE-2023-27351: Cacat Pendedahan Maklumat Tidak Disahkan
Kerentanan kedua, CVE-2023-27351, mempunyai skor CVSS v3.1 sebanyak 8.2, yang dianggap berisiko tinggi. Cacat ini membenarkan pendedahan maklumat yang tidak disahkan, bermakna penyerang boleh mengakses data sensitif tanpa memerlukan kelayakan yang sah. Mengeksploitasi kelemahan ini akan membolehkan penjenayah siber memperoleh maklumat berharga dan berpotensi menggunakannya untuk serangan sasaran yang lebih tepat. Walaupun tidak kritikal seperti kelemahan pelaksanaan kod jauh, kelemahan ini masih menimbulkan ancaman besar kepada keselamatan dan privasi pengguna.
Bukti Kod Konsep Dikeluarkan
Kod bukti konsep (PoC) yang disediakan kepada orang ramai meningkatkan risiko yang berkaitan dengan kelemahan ini. Kod PoC ini menyediakan peta jalan untuk penyerang berpotensi untuk mengeksploitasi kelemahan ini walaupun tanpa pengetahuan teknikal yang luas. Melepaskan kod PoC adalah pedang bermata dua; sementara ia membantu dalam menyebarkan kesedaran tentang kelemahan keselamatan dan membantu penyelidik keselamatan membangunkan tampung, ia juga menyediakan pelan tindakan kepada bakal penyerang untuk menjalankan serangan. Tampalan yang dikeluarkan untuk kelemahan ini adalah penting untuk memastikan keselamatan pengguna PaperCut dan rangkaian mereka.
Pelakon Berniat Hasad Mengeksploitasi Kerentanan PaperCut
Apabila kelemahan PaperCut diketahui, pelbagai kumpulan perisian tebusan dengan cepat mula mengeksploitasinya secara aktif. Antara pelakon berniat jahat ini ialah strain Lace Tempest dan LockBit ransomware, kedua-duanya menyasarkan pelayan PaperCut yang terdedah untuk menyusup ke rangkaian dan menggunakan muatan perisian tebusan mereka.
Lace Tempest (Clop Ransomware Affiliate) Menyasarkan Pelayan Rentan
Lace Tempest, ahli gabungan kumpulan perisian tebusan Clop yang terkenal, adalah salah satu pelakon berniat jahat pertama yang mengeksploitasi kelemahan PaperCut. Dengan menggunakan pelaksanaan kod jauh yang tidak disahkan dan kelemahan pendedahan maklumat, Lace Tempest berjaya menjejaskan pelayan yang terdedah, memperoleh akses tanpa had kepada data dan rangkaian sensitif. Sebaik sahaja berada di dalam sistem yang terjejas ini, Lace Tempest menggunakan perisian tebusan Clop, menyulitkan fail dan menuntut wang tebusan untuk melepaskan kunci penyahsulitan.
Strain LockBit Ransomware Juga Menyasarkan Pelayan PaperCut
LockBit , satu lagi jenis perisian tebusan yang terkenal, juga telah mengeksploitasi kelemahan pelayan PaperCut secara aktif. Sama seperti strategi Lace Tempest, LockBit mengeksploitasi pelaksanaan kod jauh yang tidak disahkan dan kelemahan pendedahan maklumat untuk menyusup ke sistem yang terdedah. Dengan akses kepada data sensitif dan rangkaian dalaman, LockBit menggunakan muatan perisian tebusannya, yang membawa kepada fail yang disulitkan dan permintaan tebusan. Penggunaan pantas kelemahan ini oleh pelakon berniat jahat seperti LockBit dan Lace Tempest menyerlahkan keterukan kelemahan PaperCut ini dan menekankan kepentingan menampal dan mengemas kini perisian secara kerap untuk melindungi daripada ancaman siber.
Taktik Serangan Tempest Lace
Lace Tempest, ahli gabungan perisian tebusan Clop, telah membangunkan taktik serangan uniknya untuk mengeksploitasi kelemahan pelayan PaperCut dengan berkesan. Dengan menggunakan kaedah yang canggih seperti arahan PowerShell, arahan dan sambungan pelayan kawalan, dan Cobalt Strike Beacon, Lace Tempest telah berjaya menyusup ke sistem dan menghantar muatan perisian tebusannya.
Menggunakan Perintah PowerShell untuk Menyampaikan TrueBot DLL
Serangan Lace Tempest selalunya bermula dengan pelaksanaan perintah PowerShell, yang mereka gunakan untuk menghantar fail TrueBot DLL (Dynamic Link Library) yang berniat jahat kepada sistem yang disasarkan. Fail DLL ini kemudiannya dimuatkan ke dalam sistem, dan berfungsi sebagai blok bangunan untuk aktiviti berniat jahat selanjutnya, seperti mewujudkan sambungan untuk memerintah dan mengawal pelayan dan memuat turun komponen perisian hasad tambahan.
Menyambung ke Pelayan Perintah dan Kawalan
Setelah TrueBot DLL disediakan, perisian hasad Lace Tempest bersambung ke pelayan arahan dan kawalan (C2). Sambungan ini membolehkan penyerang menghantar arahan dan menerima data daripada sistem yang terjejas, memudahkan penyusutan data dan mendayakan penggunaan komponen atau alatan perisian hasad tambahan, seperti Cobalt Strike Beacon.
Menggunakan Cobalt Strike Beacon untuk Penghantaran Ransomware
Lace Tempest sering menggunakan Cobalt Strike Beacon sebagai sebahagian daripada rantai serangannya. Cobalt Strike ialah alat ujian penembusan yang sah, yang termasuk ejen pasca eksploitasi yang dipanggil "Beacon." Malangnya, penjenayah siber seperti Lace Tempest telah menggunakan semula alat ini untuk tujuan jahat mereka. Dalam kes ini, mereka menggunakan Cobalt Strike Beacon untuk menghantar perisian tebusan Clop kepada sistem yang disasarkan. Sebaik sahaja perisian tebusan digunakan, ia menyulitkan fail pada sistem dan menuntut wang tebusan untuk kunci penyahsulitan, dengan berkesan menahan tebusan data mangsa.
Anjakan dalam Operasi Ransomware
Terdapat perubahan ketara dalam operasi kumpulan perisian tebusan, seperti Clop, dalam beberapa tahun kebelakangan ini. Daripada bergantung semata-mata pada penyulitan data dan menuntut wang tebusan untuk kunci penyahsulitan, penyerang kini mengutamakan mencuri data sensitif untuk tujuan pemerasan. Perubahan dalam taktik ini telah menjadikan serangan siber lebih mengancam, kerana pelakon yang berniat jahat kini boleh memanfaatkan data yang dicuri untuk memaksa mangsa membayar wang tebusan, walaupun mereka mempunyai strategi sandaran yang kukuh.
Fokus pada Mencuri Data untuk Peras ugut
Kumpulan ransomware telah menyedari bahawa mencuri data untuk tujuan pemerasan boleh menghasilkan hasil yang lebih lumayan daripada hanya bergantung pada penyulitan untuk menahan mangsa sebagai tebusan. Dengan mengeluarkan maklumat sensitif, penyerang kini boleh mengancam untuk menerbitkan atau menjual data yang dicuri di web gelap, yang berpotensi menyebabkan kerosakan kewangan dan reputasi yang ketara kepada organisasi. Tekanan tambahan ini meningkatkan kemungkinan mangsa membayar wang tebusan yang dituntut.
Mengutamakan Kecurian Data dalam Serangan
Selaras dengan peralihan ini, kumpulan perisian tebusan seperti Lace Tempest telah mula mengutamakan kecurian data dalam serangan mereka. Dengan membangunkan taktik serangan yang canggih seperti menggunakan arahan PowerShell, TrueBot DLL dan Cobalt Strike Beacon, pelakon berniat jahat ini dapat menyusup ke sistem yang terdedah dan mengeluarkan data sebelum menyulitkannya, dengan berkesan meningkatkan peluang mereka untuk pemerasan yang berjaya.
Clop Gang's History dengan Memanfaatkan Kerentanan untuk Penyusutan Data
Geng Clop mempunyai sejarah mengeksploitasi kelemahan untuk tujuan exfiltration data. Sebagai contoh, pada tahun 2020, koperasi Clop berjaya menggodam Global Accellion dan mencuri data daripada kira-kira 100 syarikat menggunakan kelemahan yang didedahkan dalam aplikasi Perkakas Pemindahan Fail syarikat. Baru-baru ini, kumpulan Clop menggunakan kelemahan sifar hari dalam platform perkongsian fail selamat GoAnywhere MFT untuk mencuri data daripada 130 syarikat. Corak mengeksploitasi kelemahan untuk kecurian data ini, digabungkan dengan landskap perisian tebusan yang sentiasa berkembang, menyerlahkan keperluan bagi organisasi untuk mengguna pakai langkah keselamatan yang teguh dan mengekalkan perisian terkini untuk melindungi aset kritikal mereka.