Уязвимости PaperCut исправлены
PaperCut, популярное программное решение для управления печатью, недавно столкнулось с двумя серьезными уязвимостями, которые активно использовали банды вымогателей. Эти уязвимости были исправлены компанией для устранения потенциальных рисков.
Оглавление
CVE-2023-27350: ошибка удаленного выполнения кода без проверки подлинности
Эта уязвимость имеет оценку CVSS v3.1 9,8, что указывает на критический уровень риска. Уязвимость, связанная с удаленным выполнением кода без проверки подлинности, позволяла злоумышленникам выполнять произвольный код на уязвимых системах без какой-либо проверки подлинности, что давало им неограниченный доступ к конфиденциальным данным и возможность компрометации сетей. Дополнительные опасения по поводу серьезности этой уязвимости вызывает тот факт, что был выпущен код проверки концепции, который дает возможность большему количеству киберпреступников легко использовать эту уязвимость.
CVE-2023-27351: ошибка раскрытия информации без проверки подлинности
Вторая уязвимость, CVE-2023-27351, имеет оценку CVSS v3.1 8,2, что считается высоким риском. Эта уязвимость допускала раскрытие информации без проверки подлинности, а это означало, что злоумышленники могли получить доступ к конфиденциальным данным, не требуя действительных учетных данных. Использование этой уязвимости позволит киберпреступникам получить ценную информацию и потенциально использовать ее для более точных целевых атак. Хотя эта уязвимость не так критична, как ошибка удаленного выполнения кода, она все же представляет значительную угрозу безопасности и конфиденциальности пользователей.
Выпущен код подтверждения концепции
Код проверки концепции (PoC), доступный для общественности, повысил риски, связанные с этими уязвимостями. Этот PoC-код предоставил потенциальным злоумышленникам дорожную карту для использования этих недостатков даже без обширных технических знаний. Выпуск PoC-кода — палка о двух концах; хотя он помогает распространять информацию о недостатках безопасности и помогает исследователям в области безопасности разрабатывать исправления, он также предоставляет потенциальным злоумышленникам план проведения атак. Исправления, выпущенные для этих уязвимостей, имеют решающее значение для обеспечения безопасности пользователей PaperCut и их сетей.
Злоумышленники, использующие уязвимости PaperCut
Как только стало известно об уязвимостях PaperCut, их быстро начали активно эксплуатировать различные банды вымогателей . Среди этих злоумышленников были штаммы программ-вымогателей Lace Tempest и LockBit, которые нацелены на уязвимые серверы PaperCut для проникновения в сети и развертывания полезной нагрузки программ-вымогателей.
Lace Tempest (партнер Clop Ransomware) атакует уязвимые серверы
Lace Tempest, филиал известной группы вымогателей Clop , был одним из первых злоумышленников, воспользовавшихся уязвимостями PaperCut. Используя уязвимости удаленного выполнения кода без аутентификации и раскрытия информации, Lace Tempest удалось скомпрометировать уязвимые серверы, получив неограниченный доступ к конфиденциальным данным и сетям. Оказавшись внутри этих скомпрометированных систем, Lace Tempest развернула программу-вымогатель Clop, шифруя файлы и требуя выкуп за разблокировку ключей дешифрования.
Штамм вируса-вымогателя LockBit также нацелен на серверы PaperCut
LockBit , еще один печально известный вирус-вымогатель, также активно использует уязвимости сервера PaperCut. Подобно стратегии Lace Tempest, LockBit использовала уязвимости удаленного выполнения кода без проверки подлинности и раскрытия информации для проникновения в уязвимые системы. Получив доступ к конфиденциальным данным и внутренним сетям, LockBit развернула полезную нагрузку программы-вымогателя, что привело к зашифрованным файлам и требованиям выкупа. Быстрое внедрение этих уязвимостей злоумышленниками, такими как LockBit и Lace Tempest, подчеркивает серьезность этих недостатков PaperCut и подчеркивает важность регулярного исправления и обновления программного обеспечения для защиты от киберугроз.
Тактика Атаки Кружева Бури
Lace Tempest, дочерняя компания Clop по программе-вымогателю, разработала уникальную тактику атаки для эффективного использования уязвимостей сервера PaperCut. Используя сложные методы, такие как команды PowerShell, подключения к серверу управления и контроля, а также Cobalt Strike Beacon, Lace Tempest успешно проникла в системы и доставила полезную нагрузку программы-вымогателя.
Использование команд PowerShell для доставки TrueBot DLL
Атаки Lace Tempest часто начинаются с выполнения команд PowerShell, которые они используют для доставки вредоносного файла TrueBot DLL (библиотека динамической компоновки) в целевую систему. Затем этот DLL-файл загружается в систему и служит строительным блоком для дальнейших вредоносных действий, таких как установление соединений с серверами управления и загрузки и загрузка дополнительных вредоносных компонентов.
Подключается к серверу управления и контроля
После установки DLL-библиотеки TrueBot вредоносное ПО Lace Tempest подключается к серверу управления и контроля (C2). Это соединение позволяет злоумышленникам отправлять команды и получать данные из скомпрометированной системы, облегчая эксфильтрацию данных и позволяя развертывать дополнительные вредоносные компоненты или инструменты, такие как Cobalt Strike Beacon.
Использование Cobalt Strike Beacon для доставки программ-вымогателей
Lace Tempest часто использует Cobalt Strike Beacon как часть своей цепочки атак. Cobalt Strike — это законный инструмент для тестирования на проникновение, который включает в себя агент пост-эксплуатации, называемый «Маяк». К сожалению, киберпреступники, такие как Lace Tempest, перепрофилировали этот инструмент для своих злонамеренных целей. В этом случае они используют Cobalt Strike Beacon для доставки программы-вымогателя Clop в целевые системы. После развертывания программы-вымогателя она шифрует файлы в системе и требует выкуп за ключи дешифрования, эффективно удерживая данные жертвы в заложниках.
Изменения в операциях с программами-вымогателями
В последние годы произошел заметный сдвиг в действиях групп вымогателей, таких как Clop. Вместо того, чтобы полагаться исключительно на шифрование данных и требовать выкуп за ключи дешифрования, злоумышленники теперь отдают приоритет краже конфиденциальных данных с целью вымогательства. Это изменение в тактике сделало кибератаки еще более опасными, поскольку злоумышленники теперь могут использовать украденные данные, чтобы заставить жертв платить выкуп, даже если у них есть надежные стратегии резервного копирования.
Сосредоточьтесь на краже данных для вымогательства
Банды вымогателей осознали, что кража данных с целью вымогательства может принести более прибыльные результаты, чем просто использование шифрования для удержания жертв в заложниках. Извлекая конфиденциальную информацию, злоумышленники теперь могут угрожать опубликовать или продать украденные данные в темной сети, что может нанести значительный финансовый и репутационный ущерб организациям. Это дополнительное давление увеличивает вероятность того, что жертвы заплатят требуемый выкуп.
Приоритизация кражи данных в атаках
В соответствии с этим сдвигом банды вымогателей, такие как Lace Tempest, начали уделять приоритетное внимание краже данных в своих атаках. Разрабатывая изощренные тактики атак, такие как использование команд PowerShell, библиотеки TrueBot DLL и маяка Cobalt Strike, эти злоумышленники могут проникать в уязвимые системы и извлекать данные перед их шифрованием, что существенно повышает их шансы на успешное вымогательство.
История Clop Gang с использованием уязвимостей для кражи данных
Банда Clop имеет опыт эксплуатации уязвимостей для целей кражи данных. Например, в 2020 году оперативники Clop успешно взломали Global Accellion и украли данные примерно у 100 компаний, используя раскрытые уязвимости в приложении File Transfer Appliance компании. Совсем недавно банда Клопа использовала уязвимости нулевого дня в защищенной платформе обмена файлами GoAnywhere MFT, чтобы украсть данные у 130 компаний. Эта модель использования уязвимостей для кражи данных в сочетании с постоянно развивающимся ландшафтом программ-вымогателей подчеркивает необходимость для организаций принимать надежные меры безопасности и поддерживать актуальное программное обеспечение для защиты своих критически важных активов.