已修补 PaperCut 漏洞
PaperCut 是一种流行的打印管理软件解决方案,最近面临勒索软件团伙积极利用的两个重大漏洞。公司现已修补这些漏洞,以消除潜在风险。
目录
CVE-2023-27350:未经身份验证的远程代码执行缺陷
此漏洞的 CVSS v3.1 评分为 9.8,表明存在严重风险级别。未经身份验证的远程代码执行缺陷允许攻击者在易受攻击的系统上执行任意代码而无需任何类型的身份验证,从而使他们能够不受限制地访问敏感数据并能够破坏网络。概念验证代码已发布,这为更多网络犯罪分子轻松利用此漏洞提供了指南,这进一步增加了对该漏洞严重性的担忧。
CVE-2023-27351:未经身份验证的信息泄露缺陷
第二个漏洞 CVE-2023-27351 的 CVSS v3.1 评分为 8.2,属于高风险。此缺陷允许未经身份验证的信息泄露,这意味着攻击者无需有效凭据即可访问敏感数据。利用此漏洞将使网络犯罪分子能够获取有价值的信息,并有可能将其用于更精确的针对性攻击。虽然不像远程代码执行漏洞那么严重,但此漏洞仍然对用户的安全和隐私构成相当大的威胁。
发布概念验证代码
向公众提供的概念验证 (PoC) 代码增加了与这些漏洞相关的风险。该 PoC 代码为潜在攻击者提供了一个路线图,即使他们没有广泛的技术知识也可以利用这些漏洞。发布 PoC 代码是一把双刃剑;虽然它有助于传播对安全漏洞的认识并帮助安全研究人员开发补丁,但它也为潜在的攻击者提供了实施攻击的蓝图。针对这些漏洞发布的补丁对于确保 PaperCut 用户及其网络的安全至关重要。
恶意行为者利用 PaperCut 漏洞
随着 PaperCut 漏洞为人所知,各种勒索软件团伙迅速开始积极利用它们。在这些恶意行为者中,有 Lace Tempest 和 LockBit 勒索软件变种,它们都以易受攻击的 PaperCut 服务器为目标,以渗透网络并部署其勒索软件负载。
Lace Tempest(Clop 勒索软件附属)针对易受攻击的服务器
Lace Tempest 是著名的Clop 勒索软件组织的附属机构,是最早利用 PaperCut 漏洞的恶意行为者之一。通过使用未经身份验证的远程代码执行和信息泄露漏洞,Lace Tempest 设法破坏了易受攻击的服务器,获得了对敏感数据和网络的不受限制的访问权限。一旦进入这些受感染的系统,Lace Tempest 就会部署 Clop 勒索软件,加密文件并要求赎金以释放解密密钥。
LockBit 勒索软件还针对 PaperCut 服务器
另一种臭名昭著的勒索软件LockBit也一直在积极利用 PaperCut 服务器漏洞。与 Lace Tempest 的策略类似,LockBit 利用未经身份验证的远程代码执行和信息泄露漏洞渗透易受攻击的系统。通过访问敏感数据和内部网络,LockBit 部署了其勒索软件负载,导致加密文件和勒索要求。 LockBit 和 Lace Tempest 等恶意行为者迅速利用这些漏洞凸显了这些 PaperCut 缺陷的严重性,并强调了定期修补和更新软件以抵御网络威胁的重要性。
花边暴风雨攻击战术
Clop 勒索软件分支 Lace Tempest 已开发出其独特的攻击策略,可有效利用 PaperCut 服务器漏洞。通过使用 PowerShell 命令、命令和控制服务器连接以及 Cobalt Strike Beacon 等复杂方法,Lace Tempest 已成功渗透系统并交付其勒索软件负载。
使用 PowerShell 命令交付 TrueBot DLL
Lace Tempest 的攻击通常从执行 PowerShell 命令开始,他们使用这些命令将恶意 TrueBot DLL(动态链接库)文件传送到目标系统。然后这个 DLL 文件被加载到系统上,并作为进一步恶意活动的构建块,例如建立与命令和控制服务器的连接以及下载其他恶意软件组件。
连接到命令和控制服务器
一旦 TrueBot DLL 到位,Lace Tempest 的恶意软件就会连接到命令和控制 (C2) 服务器。此连接允许攻击者发送命令并从受感染的系统接收数据,从而促进数据泄露并允许部署其他恶意软件组件或工具,例如Cobalt Strike Beacon。
利用 Cobalt Strike Beacon 进行勒索软件交付
Lace Tempest 经常使用 Cobalt Strike Beacon 作为其攻击链的一部分。 Cobalt Strike 是一种合法的渗透测试工具,其中包括一个名为“Beacon”的后开发代理。不幸的是,像 Lace Tempest 这样的网络犯罪分子已经将此工具重新用于他们的恶意目标。在这种情况下,他们使用 Cobalt Strike Beacon 将 Clop 勒索软件传送到目标系统。部署勒索软件后,它会加密系统上的文件并要求赎金以获取解密密钥,从而有效地劫持受害者的数据。
勒索软件操作的转变
近年来,勒索软件团伙(例如 Clop)的运作方式发生了明显变化。攻击者现在不再仅仅依靠加密数据和索取解密密钥的赎金,而是优先窃取敏感数据以进行勒索。这种策略上的变化使网络攻击更具威胁性,因为恶意行为者现在可以利用窃取的数据迫使受害者支付赎金,即使他们已经制定了完善的备份策略。
专注于窃取数据进行勒索
勒索软件团伙已经意识到,以勒索为目的窃取数据比仅仅依靠加密来劫持受害者更有利可图。通过泄露敏感信息,攻击者现在可以威胁在暗网上发布或出售被盗数据,这可能会给组织造成重大的财务和声誉损失。这种额外的压力增加了受害者支付所要求的赎金的可能性。
在攻击中优先考虑数据窃取
与这种转变相一致,像 Lace Tempest 这样的勒索软件团伙已经开始在他们的攻击中优先考虑数据窃取。通过开发复杂的攻击策略,例如使用 PowerShell 命令、TrueBot DLL 和 Cobalt Strike Beacon,这些恶意行为者能够渗透到易受攻击的系统并在加密之前泄露数据,从而有效地增加了勒索成功的机会。
Clop Gang 利用漏洞进行数据泄露的历史
Clop 团伙有利用漏洞进行数据泄露的历史。例如,在 2020 年,Clop 特工成功入侵了 Global Accellion,并利用该公司 File Transfer Appliance 应用程序中公开的漏洞从大约 100 家公司窃取了数据。最近,Clop 团伙利用 GoAnywhere MFT 安全文件共享平台中的零日漏洞从 130 家公司窃取数据。这种利用漏洞窃取数据的模式,再加上不断发展的勒索软件环境,凸显了组织采取稳健的安全措施并维护最新软件以保护其关键资产的必要性。