Lỗ hổng PaperCut được vá
PaperCut, một giải pháp phần mềm quản lý in ấn phổ biến, gần đây đã phải đối mặt với hai lỗ hổng nghiêm trọng mà các nhóm ransomware tích cực khai thác. Những lỗ hổng này hiện đã được công ty vá để loại bỏ những rủi ro tiềm ẩn.
Mục lục
CVE-2023-27350: Lỗ hổng thực thi mã từ xa chưa được xác thực
Lỗ hổng này có điểm CVSS v3.1 là 9,8, cho thấy mức độ rủi ro nghiêm trọng. Lỗ hổng thực thi mã từ xa không được xác thực cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống dễ bị tổn thương mà không cần bất kỳ loại xác thực nào, cho phép chúng truy cập không hạn chế vào dữ liệu nhạy cảm và khả năng xâm phạm mạng. Thêm mối lo ngại nữa về mức độ nghiêm trọng của lỗ hổng này là thực tế là mã bằng chứng về khái niệm đã được phát hành, cung cấp hướng dẫn cho nhiều tội phạm mạng khai thác lỗ hổng này một cách dễ dàng.
CVE-2023-27351: Lỗ hổng tiết lộ thông tin chưa được xác thực
Lỗ hổng thứ hai, CVE-2023-27351, có điểm CVSS v3.1 là 8,2, được coi là rủi ro cao. Lỗ hổng này cho phép tiết lộ thông tin không được xác thực, nghĩa là kẻ tấn công có thể truy cập dữ liệu nhạy cảm mà không cần thông tin xác thực hợp lệ. Khai thác lỗ hổng này sẽ cho phép tội phạm mạng thu được thông tin có giá trị và có khả năng sử dụng thông tin đó cho các cuộc tấn công nhắm mục tiêu chính xác hơn. Mặc dù không nghiêm trọng bằng lỗ hổng thực thi mã từ xa nhưng lỗ hổng này vẫn gây ra mối đe dọa đáng kể đối với bảo mật và quyền riêng tư của người dùng.
Bằng chứng về mã khái niệm được phát hành
Mã bằng chứng về khái niệm (PoC) được cung cấp cho công chúng đã làm tăng rủi ro liên quan đến các lỗ hổng này. Mã PoC này cung cấp lộ trình cho những kẻ tấn công tiềm năng khai thác những lỗ hổng này ngay cả khi không có kiến thức kỹ thuật sâu rộng. Phát hành mã PoC là con dao hai lưỡi; trong khi nó hỗ trợ truyền bá nhận thức về các lỗi bảo mật và giúp các nhà nghiên cứu bảo mật phát triển các bản vá lỗi, nó cũng cung cấp cho những kẻ tấn công kế hoạch chi tiết để tiến hành các cuộc tấn công. Các bản vá được phát hành cho các lỗ hổng này là rất quan trọng để đảm bảo tính bảo mật của người dùng PaperCut và mạng của họ.
Các tác nhân độc hại khai thác lỗ hổng PaperCut
Khi các lỗ hổng PaperCut được biết đến, nhiều nhóm ransomware khác nhau đã nhanh chóng bắt đầu tích cực khai thác chúng. Trong số những tác nhân độc hại này có các chủng ransomware Lace Tempest và LockBit, cả hai đều nhắm mục tiêu vào các máy chủ PaperCut dễ bị tổn thương để xâm nhập vào mạng và triển khai tải trọng ransomware của chúng.
Lace Tempest (Clop Ransomware liên kết) nhắm mục tiêu máy chủ dễ bị tấn công
Lace Tempest, một chi nhánh của nhóm ransomware Clop nổi tiếng, là một trong những tác nhân độc hại đầu tiên khai thác lỗ hổng PaperCut. Bằng cách sử dụng các lỗ hổng tiết lộ thông tin và thực thi mã từ xa không được xác thực, Lace Tempest đã thành công trong việc xâm nhập các máy chủ dễ bị tấn công, giành quyền truy cập không hạn chế vào dữ liệu và mạng nhạy cảm. Khi đã ở bên trong các hệ thống bị xâm nhập này, Lace Tempest đã triển khai mã độc tống tiền Clop, mã hóa các tệp và yêu cầu tiền chuộc để giải phóng các khóa giải mã.
LockBit Ransomware Strain cũng nhắm mục tiêu máy chủ PaperCut
LockBit , một chủng ransomware khét tiếng khác, cũng đã tích cực khai thác các lỗ hổng máy chủ PaperCut. Tương tự như chiến lược của Lace Tempest, LockBit đã khai thác lỗ hổng tiết lộ thông tin và thực thi mã từ xa không được xác thực để xâm nhập vào các hệ thống dễ bị tấn công. Với quyền truy cập vào dữ liệu nhạy cảm và mạng nội bộ, LockBit đã triển khai tải trọng ransomware của mình, dẫn đến các tệp được mã hóa và yêu cầu tiền chuộc. Việc các tác nhân độc hại như LockBit và Lace Tempest nhanh chóng áp dụng các lỗ hổng này làm nổi bật mức độ nghiêm trọng của các lỗ hổng PaperCut này, đồng thời nhấn mạnh tầm quan trọng của việc thường xuyên vá lỗi và cập nhật phần mềm để bảo vệ chống lại các mối đe dọa trên mạng.
Chiến thuật tấn công ren Tempest
Lace Tempest, chi nhánh của mã độc tống tiền Clop, đã phát triển các chiến thuật tấn công độc đáo của mình để khai thác các lỗ hổng máy chủ PaperCut một cách hiệu quả. Bằng cách sử dụng các phương pháp phức tạp như lệnh PowerShell, kết nối máy chủ chỉ huy và điều khiển cũng như Cobalt Strike Beacon, Lace Tempest đã xâm nhập thành công vào các hệ thống và phân phối tải trọng ransomware của nó.
Sử dụng các lệnh PowerShell để phân phối TrueBot DLL
Các cuộc tấn công của Lace Tempest thường bắt đầu bằng việc thực thi các lệnh PowerShell mà chúng sử dụng để gửi tệp TrueBot DLL (Thư viện liên kết động) độc hại đến hệ thống được nhắm mục tiêu. Sau đó, tệp DLL này được tải lên hệ thống và đóng vai trò là khối xây dựng cho các hoạt động độc hại khác, chẳng hạn như thiết lập kết nối với máy chủ chỉ huy và kiểm soát cũng như tải xuống các thành phần phần mềm độc hại bổ sung.
Kết nối với Máy chủ Chỉ huy và Điều khiển
Sau khi TrueBot DLL được đặt đúng chỗ, phần mềm độc hại của Lace Tempest sẽ kết nối với máy chủ chỉ huy và kiểm soát (C2). Kết nối này cho phép kẻ tấn công gửi lệnh và nhận dữ liệu từ hệ thống bị xâm nhập, tạo điều kiện cho việc đánh cắp dữ liệu và cho phép triển khai các thành phần hoặc công cụ phần mềm độc hại bổ sung, chẳng hạn như Cobalt Strike Beacon.
Sử dụng Cobalt Strike Beacon để phân phối ransomware
Lace Tempest thường sử dụng Cobalt Strike Beacon như một phần của chuỗi tấn công của nó. Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp, bao gồm một tác nhân hậu khai thác được gọi là "Beacon". Thật không may, tội phạm mạng như Lace Tempest đã sử dụng lại công cụ này cho các mục tiêu độc hại của chúng. Trong trường hợp này, chúng sử dụng Cobalt Strike Beacon để đưa mã độc tống tiền Clop đến các hệ thống được nhắm mục tiêu. Sau khi ransomware được triển khai, nó sẽ mã hóa các tệp trên hệ thống và yêu cầu một khoản tiền chuộc cho các khóa giải mã, nắm giữ con tin dữ liệu của nạn nhân một cách hiệu quả.
Thay đổi trong hoạt động của ransomware
Đã có một sự thay đổi đáng chú ý trong hoạt động của các băng nhóm ransomware, chẳng hạn như Clop, trong những năm gần đây. Thay vì chỉ dựa vào việc mã hóa dữ liệu và đòi tiền chuộc cho các khóa giải mã, những kẻ tấn công hiện đang ưu tiên đánh cắp dữ liệu nhạy cảm cho mục đích tống tiền. Sự thay đổi trong chiến thuật này đã làm cho các cuộc tấn công mạng thậm chí còn trở nên đe dọa hơn, vì các tác nhân độc hại giờ đây có thể tận dụng dữ liệu bị đánh cắp để buộc nạn nhân trả tiền chuộc, ngay cả khi họ có các chiến lược dự phòng hợp lý.
Tập trung vào đánh cắp dữ liệu để tống tiền
Các băng nhóm ransomware đã nhận ra rằng việc đánh cắp dữ liệu cho mục đích tống tiền có thể mang lại nhiều kết quả sinh lợi hơn là chỉ dựa vào mã hóa để bắt nạn nhân làm con tin. Bằng cách lọc thông tin nhạy cảm, những kẻ tấn công giờ đây có thể đe dọa xuất bản hoặc bán dữ liệu bị đánh cắp trên web tối, có khả năng gây thiệt hại đáng kể về tài chính và uy tín cho các tổ chức. Áp lực gia tăng này làm tăng khả năng nạn nhân phải trả khoản tiền chuộc được yêu cầu.
Ưu tiên đánh cắp dữ liệu trong các cuộc tấn công
Cùng với sự thay đổi này, các nhóm ransomware như Lace Tempest đã bắt đầu ưu tiên đánh cắp dữ liệu trong các cuộc tấn công của chúng. Bằng cách phát triển các chiến thuật tấn công tinh vi như sử dụng các lệnh PowerShell, TrueBot DLL và Cobalt Strike Beacon, những tác nhân độc hại này có thể xâm nhập vào các hệ thống dễ bị tổn thương và trích xuất dữ liệu trước khi mã hóa nó, tăng cơ hội tống tiền thành công một cách hiệu quả.
Lịch sử của Clop Gang với việc khai thác các lỗ hổng để đánh cắp dữ liệu
Băng đảng Clop có lịch sử khai thác các lỗ hổng cho mục đích đánh cắp dữ liệu. Chẳng hạn, vào năm 2020, các đặc vụ của Clop đã tấn công thành công Global Accellion và đánh cắp dữ liệu của khoảng 100 công ty bằng cách sử dụng các lỗ hổng đã tiết lộ trong ứng dụng Công cụ truyền tệp của công ty. Gần đây hơn, nhóm Clop đã sử dụng các lỗ hổng zero-day trong nền tảng chia sẻ tệp an toàn MFT của GoAnywhere để đánh cắp dữ liệu từ 130 công ty. Mô hình khai thác lỗ hổng để đánh cắp dữ liệu này, kết hợp với bối cảnh mã độc tống tiền ngày càng phát triển, làm nổi bật nhu cầu của các tổ chức áp dụng các biện pháp bảo mật mạnh mẽ và duy trì phần mềm cập nhật để bảo vệ tài sản quan trọng của họ.