Ranljivosti PaperCut popravljene
PaperCut, priljubljena programska rešitev za upravljanje tiskanja, se je nedavno soočila z dvema pomembnima ranljivostma, ki so ju aktivno izkoriščale združbe izsiljevalske programske opreme. Te ranljivosti je podjetje zdaj popravilo, da bi odpravilo morebitna tveganja.
Kazalo
CVE-2023-27350: Napaka pri nepreverjeni oddaljeni izvedbi kode
Ta ranljivost ima oceno CVSS v3.1 9,8, kar kaže na kritično raven tveganja. Napaka pri nepreverjenem oddaljenem izvajanju kode je napadalcem omogočila izvajanje poljubne kode na ranljivih sistemih brez kakršnega koli preverjanja pristnosti, kar jim je omogočilo neomejen dostop do občutljivih podatkov in možnost ogrožanja omrežij. Resnost te ranljivosti dodatno skrbi dejstvo, da je bila izdana koda za dokaz koncepta, ki zagotavlja smernico več kiberkriminalcem za enostavno izkoriščanje te napake.
CVE-2023-27351: Napaka pri razkritju nepreverjenih informacij
Druga ranljivost, CVE-2023-27351, ima oceno CVSS v3.1 8,2, kar velja za visoko tveganje. Ta napaka je omogočila nepreverjeno razkritje informacij, kar je pomenilo, da so lahko napadalci dostopali do občutljivih podatkov, ne da bi potrebovali veljavne poverilnice. Izkoriščanje te ranljivosti bi kibernetskim kriminalcem omogočilo, da pridobijo dragocene informacije in jih potencialno uporabijo za natančnejše ciljne napade. Čeprav ni tako kritična kot napaka pri oddaljenem izvajanju kode, je ta ranljivost vseeno predstavljala veliko grožnjo varnosti in zasebnosti uporabnikov.
Izdana koda za dokaz koncepta
Koda dokazila koncepta (PoC), ki je bila na voljo javnosti, je povečala tveganja, povezana s temi ranljivostmi. Ta koda PoC je potencialnim napadalcem ponudila načrt za izkoriščanje teh pomanjkljivosti tudi brez obsežnega tehničnega znanja. Sprostitev kode PoC je dvorezen meč; medtem ko pomaga pri širjenju ozaveščenosti o varnostnih napakah in pomaga varnostnim raziskovalcem razviti popravke, potencialnim napadalcem ponuja tudi načrt za izvajanje napadov. Popravki, izdani za te ranljivosti, so ključni za zagotavljanje varnosti uporabnikov PaperCut in njihovih omrežij.
Zlonamerni akterji izkoriščajo ranljivosti PaperCut
Ko je postalo znano o ranljivosti PaperCut, so jih različne tolpe izsiljevalske programske opreme hitro začele aktivno izkoriščati. Med temi zlonamernimi akterji sta bili različici izsiljevalske programske opreme Lace Tempest in LockBit, ki sta ciljali na ranljive strežnike PaperCut, da bi se infiltrirali v omrežja in namestili svoje koristne obremenitve izsiljevalske programske opreme.
Lace Tempest (podružnica Clop Ransomware), ki cilja na ranljive strežnike
Lace Tempest, podružnica dobro znane skupine izsiljevalskih programov Clop , je bila ena prvih zlonamernih akterjev, ki so izkoristili ranljivosti PaperCut. Z uporabo nepreverjenega oddaljenega izvajanja kode in napak pri razkrivanju informacij je Lace Tempest uspel ogroziti ranljive strežnike in pridobiti neomejen dostop do občutljivih podatkov in omrežij. Ko je Lace Tempest vstopil v te ogrožene sisteme, je namestil izsiljevalsko programsko opremo Clop, šifriral datoteke in zahteval odkupnine za sprostitev ključev za dešifriranje.
Sor izsiljevalske programske opreme LockBit cilja tudi na strežnike PaperCut
LockBit , še ena razvpita vrsta izsiljevalske programske opreme, prav tako aktivno izkorišča ranljivosti strežnika PaperCut. Podobno kot strategija Lace Tempest je LockBit izkoristil napake pri nepreverjenem oddaljenem izvajanju kode in razkritju informacij, da bi se infiltriral v ranljive sisteme. Z dostopom do občutljivih podatkov in notranjih omrežij je LockBit uporabil svoj tovor izsiljevalske programske opreme, kar je vodilo do šifriranih datotek in zahtev po odkupnini. Hitro sprejemanje teh ranljivosti s strani zlonamernih akterjev, kot sta LockBit in Lace Tempest, poudarja resnost teh napak PaperCut in poudarja pomen rednega popravka in posodabljanja programske opreme za zaščito pred kibernetskimi grožnjami.
Taktika napada Lace Tempest
Lace Tempest, podružnica izsiljevalske programske opreme Clop, je razvila svojo edinstveno taktiko napada za učinkovito izkoriščanje ranljivosti strežnika PaperCut. Z uporabo sofisticiranih metod, kot so ukazi lupine PowerShell, povezave s strežniki za ukaze in nadzor ter svetilnik Cobalt Strike Beacon, se je Lace Tempest uspešno infiltriral v sisteme in dostavil svoj tovor izsiljevalske programske opreme.
Uporaba ukazov PowerShell za dostavo TrueBot DLL
Napadi Lace Tempest se pogosto začnejo z izvajanjem ukazov PowerShell, ki jih uporabljajo za dostavo zlonamerne datoteke TrueBot DLL (Dynamic Link Library) v ciljni sistem. Ta datoteka DLL se nato naloži v sistem in služi kot gradnik za nadaljnje zlonamerne dejavnosti, kot je vzpostavljanje povezav s strežniki za ukaze in nadzor ter prenos dodatnih komponent zlonamerne programske opreme.
Povezuje se s strežnikom za ukaze in nadzor
Ko je TrueBot DLL nameščen, se zlonamerna programska oprema Lace Tempest poveže s strežnikom za ukaze in nadzor (C2). Ta povezava napadalcem omogoča pošiljanje ukazov in prejemanje podatkov iz ogroženega sistema, kar olajša izločanje podatkov in omogoča namestitev dodatnih komponent ali orodij zlonamerne programske opreme, kot je Cobalt Strike Beacon.
Uporaba Cobalt Strike Beacon za dostavo izsiljevalske programske opreme
Lace Tempest pogosto uporablja Cobalt Strike Beacon kot del svoje napadalne verige. Cobalt Strike je legitimno orodje za testiranje penetracije, ki vključuje agenta po izkoriščanju, imenovanega "Beacon". Na žalost so kiberkriminalci, kot je Lace Tempest, to orodje preuredili za svoje zlonamerne cilje. V tem primeru uporabijo Cobalt Strike Beacon za dostavo izsiljevalske programske opreme Clop v ciljne sisteme. Ko je izsiljevalska programska oprema uvedena, šifrira datoteke v sistemu in zahteva odkupnino za ključe za dešifriranje, s čimer dejansko zadrži podatke žrtev kot talca.
Premik v operacijah izsiljevalske programske opreme
V delovanju izsiljevalskih združb, kot je Clop, je v zadnjih letih opazen premik. Namesto da bi se zanašali zgolj na šifriranje podatkov in zahtevali odkupnine za ključe za dešifriranje, imajo napadalci zdaj prednost krajo občutljivih podatkov za namene izsiljevanja. Ta sprememba v taktiki je naredila kibernetske napade še bolj grozeče, saj lahko zlonamerni akterji zdaj izkoristijo ukradene podatke, da žrtve prisilijo v plačilo odkupnine, tudi če imajo vzpostavljene zanesljive rezervne strategije.
Osredotočite se na krajo podatkov za izsiljevanje
Združbe izsiljevalske programske opreme so ugotovile, da lahko kraja podatkov za namene izsiljevanja prinese bolj donosne rezultate kot preprosto zanašanje na šifriranje, da bi žrtve zadržali za talce. Z izločanjem občutljivih podatkov lahko napadalci zdaj grozijo z objavo ali prodajo ukradenih podatkov na temnem spletu, kar lahko povzroči znatno finančno škodo in škodo ugledu organizacij. Ta dodatni pritisk poveča verjetnost, da bodo žrtve plačale zahtevane odkupnine.
Dajanje prednosti kraji podatkov pri napadih
V skladu s tem premikom so združbe izsiljevalske programske opreme, kot je Lace Tempest, v svojih napadih začele dajati prednost kraji podatkov. Z razvojem sofisticiranih taktik napadov, kot je uporaba ukazov PowerShell, TrueBot DLL in Cobalt Strike Beacon, se lahko ti zlonamerni akterji infiltrirajo v ranljive sisteme in izločijo podatke, preden jih šifrirajo, kar dejansko poveča njihove možnosti za uspešno izsiljevanje.
Zgodovina skupine Clop Gang z izkoriščanjem ranljivosti za izročanje podatkov
Tolpa Clop ima zgodovino izkoriščanja ranljivosti za namene izločanja podatkov. Na primer, leta 2020 so Clopovi operativci uspešno vdrli v Global Accellion in ukradli podatke iz približno 100 podjetij z uporabo razkritih ranljivosti v aplikaciji File Transfer Appliance podjetja. Pred kratkim je tolpa Clop uporabila ranljivosti ničelnega dne v varni platformi za izmenjavo datotek GoAnywhere MFT za krajo podatkov 130 podjetij. Ta vzorec izkoriščanja ranljivosti za krajo podatkov v kombinaciji z nenehno razvijajočo se pokrajino izsiljevalske programske opreme poudarja potrebo, da organizacije sprejmejo robustne varnostne ukrepe in vzdržujejo posodobljeno programsko opremo za zaščito svojih kritičnih sredstev.