Уразливості PaperCut виправлено
PaperCut, популярне програмне забезпечення для керування друком, нещодавно зіткнулося з двома суттєвими вразливими місцями, якими активно користувалися банди програм-вимагачів. Зараз компанія виправила ці вразливості, щоб усунути потенційні ризики.
Зміст
CVE-2023-27350: помилка неавтентифікованого віддаленого виконання коду
Ця вразливість має оцінку CVSS v3.1 9,8, що вказує на критичний рівень ризику. Помилка неавтентифікованого віддаленого виконання коду дозволяла зловмисникам виконувати довільний код на вразливих системах без будь-якого типу автентифікації, надаючи їм необмежений доступ до конфіденційних даних і можливість скомпрометувати мережі. Додаткове занепокоєння щодо серйозності цієї вразливості викликає той факт, що було випущено код для підтвердження концептуального коду, який дає вказівки для більшої кількості кіберзлочинців щодо легкого використання цієї вади.
CVE-2023-27351: Помилка розкриття неавтентифікованої інформації
Друга вразливість, CVE-2023-27351, має оцінку CVSS v3.1 8,2, що вважається високим ризиком. Цей недолік дозволяв розкривати неавтентифіковану інформацію, тобто зловмисники могли отримати доступ до конфіденційних даних, не потребуючи дійсних облікових даних. Використання цієї вразливості дозволить кіберзлочинцям отримати цінну інформацію та потенційно використовувати її для точніших цілеспрямованих атак. Хоча ця вразливість не така критична, як помилка віддаленого виконання коду, все ж представляє значну загрозу безпеці та конфіденційності користувачів.
Випущено код підтвердження концепції
Загальнодоступний код перевірки концепції (PoC) підвищив ризики, пов’язані з цими вразливими місцями. Цей код PoC надав потенційним зловмисникам дорожню карту для використання цих недоліків навіть без глибоких технічних знань. Випуск коду PoC — це палка з двома кінцями; хоча він допомагає поширювати обізнаність про недоліки безпеки та допомагає дослідникам безпеки розробляти виправлення, він також надає потенційним зловмисникам план для здійснення атак. Патчі, випущені для цих уразливостей, є критично важливими для забезпечення безпеки користувачів PaperCut та їхніх мереж.
Зловмисники використовують уразливості PaperCut
Коли стало відомо про уразливості PaperCut, різні банди програм-вимагачів швидко почали їх активно використовувати. Серед цих зловмисників були штами програм-вимагачів Lace Tempest і LockBit, обидва націлені на вразливі сервери PaperCut для проникнення в мережі та розгортання програм-вимагачів.
Lace Tempest (філія Clop Ransomware), націлена на вразливі сервери
Lace Tempest, філія відомої групи програм-вимагачів Clop , була одним із перших зловмисників, які використали вразливості PaperCut. Використовуючи неавтентифіковане віддалене виконання коду та недоліки розкриття інформації, Lace Tempest вдалося скомпрометувати вразливі сервери, отримавши необмежений доступ до конфіденційних даних і мереж. Потрапивши в ці скомпрометовані системи, Lace Tempest розгорнула програму-вимагач Clop, яка шифрувала файли та вимагала викуп за передачу ключів дешифрування.
Штам програм-вимагачів LockBit також націлений на сервери PaperCut
LockBit , інший сумнозвісний штам програм-вимагачів, також активно використовує вразливості сервера PaperCut. Подібно до стратегії Lace Tempest, LockBit використовував неавтентифіковане віддалене виконання коду та недоліки розкриття інформації для проникнення в уразливі системи. Маючи доступ до конфіденційних даних і внутрішніх мереж, LockBit розгорнув програмне забезпечення-вимагач, що призвело до зашифрованих файлів і вимог викупу. Швидке застосування цих уразливостей зловмисниками, такими як LockBit і Lace Tempest, підкреслює серйозність цих недоліків PaperCut і підкреслює важливість регулярного виправлення та оновлення програмного забезпечення для захисту від кіберзагроз.
Тактика атаки мереживної бурі
Lace Tempest, афілійована програма-вимагач Clop, розробила унікальну тактику атаки для ефективного використання вразливостей сервера PaperCut. Застосовуючи такі складні методи, як команди PowerShell, з’єднання з командним і контрольним сервером і Cobalt Strike Beacon, Lace Tempest успішно проникла в системи та доставляла програмне забезпечення-вимагач.
Використання команд PowerShell для доставки TrueBot DLL
Атаки Lace Tempest часто починаються з виконання команд PowerShell, які вони використовують для доставки шкідливого файлу TrueBot DLL (Dynamic Link Library) у цільову систему. Потім цей файл DLL завантажується в систему та служить будівельним блоком для подальших зловмисних дій, таких як встановлення з’єднань із серверами керування та завантаження додаткових компонентів шкідливого програмного забезпечення.
Підключається до сервера команд і керування
Після того, як TrueBot DLL встановлено, зловмисне програмне забезпечення Lace Tempest підключається до сервера керування (C2). Це з’єднання дозволяє зловмисникам надсилати команди та отримувати дані від скомпрометованої системи, сприяючи викраданню даних і уможливлюючи розгортання додаткових компонентів або інструментів шкідливого програмного забезпечення, таких як Cobalt Strike Beacon.
Використання Cobalt Strike Beacon для доставки програм-вимагачів
Мереживна буря часто використовує кобальтовий ударний маяк як частину свого ланцюга атак. Cobalt Strike — це легітимний інструмент тестування на проникнення, який включає постексплуатаційний агент під назвою «Beacon». На жаль, такі кіберзлочинці, як Lace Tempest, перепрофілювали цей інструмент для своїх зловмисних цілей. У цьому випадку вони використовують Cobalt Strike Beacon для доставки програм-вимагачів Clop у цільові системи. Після розгортання програми-вимагача вона шифрує файли в системі та вимагає викуп за ключі дешифрування, фактично тримаючи дані жертв у заручниках.
Зміни в операціях із програмами-вимагачами
За останні роки відбулися помітні зміни в діяльності банд програм-вимагачів, таких як Clop. Замість того, щоб покладатися виключно на шифрування даних і вимагати викуп за ключі дешифрування, зловмисники тепер віддають перевагу крадіжці конфіденційних даних з метою вимагання. Ця зміна в тактиці зробила кібератаки ще більш загрозливими, оскільки зловмисники тепер можуть використовувати вкрадені дані, щоб змусити жертв платити викуп, навіть якщо вони мають надійні резервні стратегії.
Зосередьтеся на крадіжці даних для вимагання
Угруповання програм-вимагачів зрозуміли, що викрадення даних з метою вимагання може дати більш прибуткові результати, ніж просто використання шифрування для утримання жертв у заручниках. Викрадаючи конфіденційну інформацію, зловмисники тепер можуть погрожувати опублікувати або продати викрадені дані в темній мережі, потенційно завдаючи значної фінансової та репутаційної шкоди організаціям. Цей додатковий тиск збільшує ймовірність того, що жертви сплатять вимаганий викуп.
Пріоритет крадіжки даних під час атак
У відповідності до цієї зміни банди програм-вимагачів, такі як Lace Tempest, почали віддавати перевагу крадіжці даних у своїх атаках. Завдяки розробці складних тактик атак, таких як використання команд PowerShell, TrueBot DLL і Cobalt Strike Beacon, ці зловмисники можуть проникати в уразливі системи та викрадати дані перед їх шифруванням, фактично збільшуючи свої шанси на успішне вимагання.
Історія Clop Gang з використанням вразливостей для викрадання даних
Банда Клопа має історію використання вразливостей для цілей викрадання даних. Наприклад, у 2020 році оперативники Clop успішно зламали Global Accellion і викрали дані приблизно 100 компаній, використовуючи виявлені вразливості в програмі File Transfer Appliance компанії. Нещодавно банда Клопа використала вразливості нульового дня в безпечній платформі обміну файлами GoAnywhere MFT, щоб викрасти дані 130 компаній. Ця схема використання вразливостей для крадіжки даних у поєднанні з постійно розвивається ландшафтом програм-вимагачів підкреслює потребу організацій у прийнятті надійних заходів безпеки та підтримці оновленого програмного забезпечення для захисту своїх критично важливих активів.