ส่วนลดหลายใบอนุญาต
Computer Security ช่องโหว่ PaperCut ได้รับการแก้ไขแล้ว

ช่องโหว่ PaperCut ได้รับการแก้ไขแล้ว

โดย Mura ใน Computer Security
แปลเป็น:
ภาษาไทย

PaperCut ซอฟต์แวร์จัดการงานพิมพ์ที่ได้รับความนิยม เมื่อเร็วๆ นี้เผชิญกับช่องโหว่สำคัญ 2 รายการที่แก๊งแรนซัมแวร์โจมตี ช่องโหว่เหล่านี้ได้รับการแก้ไขโดยบริษัทเพื่อกำจัดความเสี่ยงที่อาจเกิดขึ้น

สารบัญ

CVE-2023-27350: ข้อบกพร่องในการรันโค้ดระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่นี้มีคะแนน CVSS v3.1 อยู่ที่ 9.8 ซึ่งบ่งชี้ถึงระดับความเสี่ยงวิกฤต ข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยอำเภอใจบนระบบที่มีช่องโหว่โดยไม่ต้องมีการรับรองความถูกต้องใดๆ ทำให้พวกเขาเข้าถึงข้อมูลที่ละเอียดอ่อนได้อย่างไม่จำกัดและความสามารถในการประนีประนอมเครือข่าย การเพิ่มข้อกังวลเพิ่มเติมเกี่ยวกับความรุนแรงของ ช่องโหว่ นี้คือความจริงที่ว่ามีการเปิดตัว Proof of Concept Code ซึ่งเป็นแนวทางสำหรับอาชญากรไซเบอร์จำนวนมากขึ้นเพื่อใช้ประโยชน์จากข้อบกพร่องนี้ได้อย่างง่ายดาย

CVE-2023-27351: ข้อบกพร่องในการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

ช่องโหว่ที่สอง CVE-2023-27351 มีคะแนน CVSS v3.1 อยู่ที่ 8.2 ซึ่งถือว่ามีความเสี่ยงสูง ข้อบกพร่องนี้อนุญาตให้มีการเปิดเผยข้อมูลที่ไม่ผ่านการตรวจสอบ ซึ่งหมายความว่าผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องใช้ข้อมูลประจำตัวที่ถูกต้อง การใช้ประโยชน์จากช่องโหว่นี้จะทำให้อาชญากรไซเบอร์ได้รับข้อมูลที่มีค่าและอาจใช้เพื่อการโจมตีเป้าหมายที่แม่นยำยิ่งขึ้น แม้จะไม่ร้ายแรงเท่ากับข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล แต่ช่องโหว่นี้ยังคงเป็นภัยคุกคามต่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้

พิสูจน์รหัสแนวคิดที่เผยแพร่แล้ว

โค้ด Proof of Concept (PoC) ที่เปิดเผยต่อสาธารณชนได้เพิ่มความเสี่ยงที่เกี่ยวข้องกับช่องโหว่เหล่านี้ รหัส PoC นี้จัดทำแผนการทำงานสำหรับผู้โจมตีที่อาจใช้ประโยชน์จากข้อบกพร่องเหล่านี้แม้ว่าจะไม่มีความรู้ด้านเทคนิคมากนัก การปล่อยรหัส PoC เป็นดาบสองคม ในขณะที่ช่วยกระจายการรับรู้เกี่ยวกับข้อบกพร่องด้านความปลอดภัยและช่วยนักวิจัยด้านความปลอดภัยพัฒนาแพตช์ มันยังให้พิมพ์เขียวแก่ผู้โจมตีที่ต้องการทำการโจมตีอีกด้วย แพตช์ที่ปล่อยออกมาสำหรับช่องโหว่เหล่านี้มีความสำคัญต่อความปลอดภัยของผู้ใช้ PaperCut และเครือข่ายของพวกเขา

ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ของ PaperCut

เมื่อทราบช่องโหว่ของ PaperCut แก๊ง แรนซัม แวร์ต่าง ๆ ก็เริ่มโจมตีอย่างรวดเร็ว ในบรรดาตัวการที่เป็นอันตรายเหล่านี้ ได้แก่ แรนซัมแวร์สายพันธุ์ Lace Tempest และ LockBit ซึ่งทั้งคู่มีเป้าหมายที่เซิร์ฟเวอร์ PaperCut ที่มีช่องโหว่เพื่อแทรกซึมเครือข่ายและปรับใช้เพย์โหลดแรนซัมแวร์

Lace Tempest (Clop Ransomware Affiliate) กำหนดเป้าหมายเซิร์ฟเวอร์ที่มีช่องโหว่

Lace Tempest ซึ่งเป็นบริษัทในเครือของกลุ่ม Clop ransomware ที่รู้จักกันดี เป็นหนึ่งในผู้ประสงค์ร้ายรายแรกๆ ที่ใช้ประโยชน์จากช่องโหว่ของ PaperCut ด้วยการใช้รหัสจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องและข้อบกพร่องในการเปิดเผยข้อมูล ทำให้ Lace Tempest จัดการเพื่อประนีประนอมเซิร์ฟเวอร์ที่มีช่องโหว่ ทำให้เข้าถึงข้อมูลและเครือข่ายที่ละเอียดอ่อนได้อย่างไม่จำกัด เมื่อเข้าไปในระบบที่ถูกบุกรุกเหล่านี้ Lace Tempest ปรับใช้ Clop ransomware เข้ารหัสไฟล์และเรียกค่าไถ่เพื่อปล่อยคีย์ถอดรหัส

สายพันธุ์ LockBit Ransomware ยังกำหนดเป้าหมายเซิร์ฟเวอร์ PaperCut

LockBit ซึ่งเป็นแรนซั่มแวร์อีกสายพันธุ์ที่ฉาวโฉ่ ได้ใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ PaperCut อย่างแข็งขัน เช่นเดียวกับกลยุทธ์ของ Lace Tempest LockBit ใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกลที่ไม่ผ่านการตรวจสอบและข้อบกพร่องในการเปิดเผยข้อมูลเพื่อแทรกซึมเข้าไปในระบบที่มีช่องโหว่ ด้วยการเข้าถึงข้อมูลที่ละเอียดอ่อนและเครือข่ายภายใน LockBit จึงปรับใช้เพย์โหลดแรนซัมแวร์ ซึ่งนำไปสู่ความต้องการไฟล์ที่เข้ารหัสและค่าไถ่ การนำช่องโหว่เหล่านี้ไปใช้อย่างรวดเร็วโดยผู้ไม่ประสงค์ดี เช่น LockBit และ Lace Tempest เน้นให้เห็นถึงความรุนแรงของข้อบกพร่อง PaperCut เหล่านี้ และเน้นย้ำถึงความสำคัญของการแพตช์และอัปเดตซอฟต์แวร์เป็นประจำเพื่อป้องกันภัยคุกคามทางไซเบอร์

กลยุทธ์การโจมตีด้วยลูกไม้ Tempest

Lace Tempest บริษัทในเครือ Clop ransomware ได้พัฒนากลยุทธ์การโจมตีที่ไม่เหมือนใครเพื่อใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ PaperCut อย่างมีประสิทธิภาพ ด้วยการใช้วิธีการที่ซับซ้อน เช่น คำสั่ง PowerShell การเชื่อมต่อเซิร์ฟเวอร์คำสั่งและการควบคุม และ Cobalt Strike Beacon ทำให้ Lace Tempest สามารถแทรกซึมระบบและส่งมอบแรนซัมแวร์เพย์โหลดได้สำเร็จ

การใช้คำสั่ง PowerShell เพื่อส่ง TrueBot DLL

การโจมตีของ Lace Tempest มักจะเริ่มต้นด้วยการดำเนินการของคำสั่ง PowerShell ซึ่งใช้เพื่อส่ง ไฟล์ TrueBot DLL (Dynamic Link Library) ที่เป็นอันตราย ไปยังระบบเป้าหมาย จากนั้นไฟล์ DLL นี้จะถูกโหลดเข้าสู่ระบบ และทำหน้าที่เป็นบล็อกการสร้างสำหรับกิจกรรมที่เป็นอันตรายเพิ่มเติม เช่น การสร้างการเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม และการดาวน์โหลดส่วนประกอบมัลแวร์เพิ่มเติม

เชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม

เมื่อติดตั้ง TrueBot DLL แล้ว มัลแวร์ของ Lace Tempest จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) การเชื่อมต่อนี้ช่วยให้ผู้โจมตีสามารถส่งคำสั่งและรับข้อมูลจากระบบที่ถูกบุกรุก อำนวยความสะดวกในการกรองข้อมูลและเปิดใช้งานการติดตั้งส่วนประกอบหรือเครื่องมือมัลแวร์เพิ่มเติม เช่น Cobalt Strike Beacon

การใช้ Cobalt Strike Beacon สำหรับการส่งแรนซัมแวร์

Lace Tempest มักใช้ Cobalt Strike Beacon เป็นส่วนหนึ่งของห่วงโซ่การโจมตี Cobalt Strike เป็นเครื่องมือทดสอบการเจาะระบบที่ถูกกฎหมาย ซึ่งรวมถึงสารหลังการแสวงประโยชน์ที่เรียกว่า "Beacon" น่าเสียดายที่อาชญากรไซเบอร์เช่น Lace Tempest ได้นำเครื่องมือนี้ไปใช้ใหม่เพื่อวัตถุประสงค์ที่เป็นอันตราย ในกรณีนี้ พวกเขาใช้ Cobalt Strike Beacon เพื่อส่ง Clop ransomware ไปยังระบบเป้าหมาย เมื่อติดตั้งแรนซั่มแวร์แล้ว มันจะเข้ารหัสไฟล์ในระบบและเรียกค่าไถ่สำหรับคีย์ถอดรหัส ซึ่งจับข้อมูลของเหยื่อเป็นตัวประกันได้อย่างมีประสิทธิภาพ

การเปลี่ยนแปลงในการดำเนินการแรนซัมแวร์

มีการเปลี่ยนแปลงอย่างเห็นได้ชัดในการดำเนินการของแก๊งแรนซัมแวร์ เช่น Clop ในช่วงไม่กี่ปีที่ผ่านมา แทนที่จะพึ่งพาการเข้ารหัสข้อมูลเพียงอย่างเดียวและเรียกร้องค่าไถ่สำหรับคีย์ถอดรหัส ตอนนี้ผู้โจมตีกำลังให้ความสำคัญกับการขโมยข้อมูลที่ละเอียดอ่อนเพื่อวัตถุประสงค์ในการขู่กรรโชก การเปลี่ยนแปลงกลยุทธ์นี้ทำให้การโจมตีทางไซเบอร์เป็นภัยคุกคามมากยิ่งขึ้น เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ข้อมูลที่ถูกขโมยเพื่อบังคับให้เหยื่อจ่ายค่าไถ่ แม้ว่าพวกเขาจะมีกลยุทธ์การสำรองข้อมูลที่ดีอยู่แล้วก็ตาม

มุ่งเน้นไปที่การขโมยข้อมูลเพื่อขู่กรรโชก

แก๊งแรนซัมแวร์ตระหนักว่าการขโมยข้อมูลเพื่อจุดประสงค์ในการขู่กรรโชกสามารถให้ผลลัพธ์ที่คุ้มค่ามากกว่าการพึ่งพาการเข้ารหัสเพื่อจับเหยื่อเป็นตัวประกัน ด้วยการสกัดข้อมูลที่ละเอียดอ่อน ผู้โจมตีสามารถขู่ว่าจะเผยแพร่หรือขายข้อมูลที่ถูกขโมยบนเว็บมืด ซึ่งอาจทำให้เกิดความเสียหายทางการเงินและชื่อเสียงอย่างมากต่อองค์กร แรงกดดันที่เพิ่มขึ้นนี้จะเพิ่มโอกาสที่เหยื่อจะจ่ายเงินค่าไถ่ตามที่เรียกร้อง

จัดลำดับความสำคัญการโจรกรรมข้อมูลในการโจมตี

เพื่อให้สอดคล้องกับการเปลี่ยนแปลงนี้ แก๊งแรนซัมแวร์อย่างเช่น Lace Tempest ได้เริ่มให้ความสำคัญกับการโจรกรรมข้อมูลในการโจมตี ด้วยการพัฒนากลยุทธ์การโจมตีที่ซับซ้อน เช่น การใช้คำสั่ง PowerShell, TrueBot DLL และ Cobalt Strike Beacon ผู้ประสงค์ร้ายเหล่านี้สามารถแทรกซึมเข้าไปในระบบที่มีช่องโหว่และกรองข้อมูลก่อนที่จะเข้ารหัส ซึ่งจะเพิ่มโอกาสในการขู่กรรโชกที่ประสบความสำเร็จได้อย่างมีประสิทธิภาพ

ประวัติของ Clop Gang กับการใช้ประโยชน์จากช่องโหว่เพื่อขโมยข้อมูล

แก๊ง Clop มีประวัติการใช้ช่องโหว่เพื่อจุดประสงค์ในการกรองข้อมูล ตัวอย่างเช่น ในปี 2020 เจ้าหน้าที่ของ Clop ประสบความสำเร็จในการเจาะระบบ Global Accellion และขโมยข้อมูลจากบริษัทประมาณ 100 แห่งโดยใช้ช่องโหว่ที่เปิดเผยในแอปพลิเคชัน File Transfer Appliance ของบริษัท ไม่นานมานี้ แก๊ง Clop ใช้ช่องโหว่แบบ Zero-day ในแพลตฟอร์มแชร์ไฟล์ที่ปลอดภัยของ GoAnywhere MFT เพื่อขโมยข้อมูลจากบริษัท 130 แห่ง รูปแบบการใช้ประโยชน์จากช่องโหว่สำหรับการโจรกรรมข้อมูล เมื่อรวมกับภูมิทัศน์ของแรนซัมแวร์ที่พัฒนาตลอดเวลานี้ เน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ ต้องใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและบำรุงรักษาซอฟต์แวร์ที่ทันสมัยเพื่อปกป้องทรัพย์สินที่สำคัญของตน

กำลังโหลด...