已修補 PaperCut 漏洞
PaperCut 是一種流行的打印管理軟件解決方案,最近面臨勒索軟件團伙積極利用的兩個重大漏洞。公司現已修補這些漏洞,以消除潛在風險。
目錄
CVE-2023-27350:未經身份驗證的遠程代碼執行缺陷
此漏洞的 CVSS v3.1 評分為 9.8,表明存在嚴重風險級別。未經身份驗證的遠程代碼執行缺陷允許攻擊者在易受攻擊的系統上執行任意代碼而無需任何類型的身份驗證,從而使他們能夠不受限制地訪問敏感數據並能夠破壞網絡。概念驗證代碼已發布,這為更多網絡犯罪分子輕鬆利用此漏洞提供了指南,這進一步增加了對該漏洞嚴重性的擔憂。
CVE-2023-27351:未經身份驗證的信息洩露缺陷
第二個漏洞 CVE-2023-27351 的 CVSS v3.1 評分為 8.2,屬於高風險。此缺陷允許未經身份驗證的信息洩露,這意味著攻擊者無需有效憑據即可訪問敏感數據。利用此漏洞將使網絡犯罪分子能夠獲取有價值的信息,並有可能將其用於更精確的針對性攻擊。雖然不像遠程代碼執行漏洞那麼嚴重,但此漏洞仍然對用戶的安全和隱私構成相當大的威脅。
發布概念驗證代碼
向公眾提供的概念驗證 (PoC) 代碼增加了與這些漏洞相關的風險。該 PoC 代碼為潛在攻擊者提供了一個路線圖,即使他們沒有廣泛的技術知識也可以利用這些漏洞。發布 PoC 代碼是一把雙刃劍;雖然它有助於傳播對安全漏洞的認識並幫助安全研究人員開發補丁,但它也為潛在的攻擊者提供了實施攻擊的藍圖。針對這些漏洞發布的補丁對於確保 PaperCut 用戶及其網絡的安全至關重要。
惡意行為者利用 PaperCut 漏洞
隨著 PaperCut 漏洞為人所知,各種勒索軟件團伙迅速開始積極利用它們。在這些惡意行為者中,有 Lace Tempest 和 LockBit 勒索軟件變種,它們都以易受攻擊的 PaperCut 服務器為目標,以滲透網絡並部署其勒索軟件負載。
Lace Tempest(Clop 勒索軟件附屬)針對易受攻擊的服務器
Lace Tempest 是著名的Clop 勒索軟件組織的附屬機構,是最早利用 PaperCut 漏洞的惡意行為者之一。通過使用未經身份驗證的遠程代碼執行和信息洩露漏洞,Lace Tempest 設法破壞了易受攻擊的服務器,獲得了對敏感數據和網絡的不受限制的訪問權限。一旦進入這些受感染的系統,Lace Tempest 就會部署 Clop 勒索軟件,加密文件並要求贖金以釋放解密密鑰。
LockBit 勒索軟件還針對 PaperCut 服務器
另一種臭名昭著的勒索軟件LockBit也一直在積極利用 PaperCut 服務器漏洞。與 Lace Tempest 的策略類似,LockBit 利用未經身份驗證的遠程代碼執行和信息洩露漏洞滲透易受攻擊的系統。通過訪問敏感數據和內部網絡,LockBit 部署了其勒索軟件負載,導致加密文件和勒索要求。 LockBit 和 Lace Tempest 等惡意行為者迅速利用這些漏洞凸顯了這些 PaperCut 缺陷的嚴重性,並強調了定期修補和更新軟件以抵禦網絡威脅的重要性。
花邊暴風雨攻擊戰術
Clop 勒索軟件分支 Lace Tempest 已開發出其獨特的攻擊策略,可有效利用 PaperCut 服務器漏洞。通過使用 PowerShell 命令、命令和控制服務器連接以及 Cobalt Strike Beacon 等複雜方法,Lace Tempest 已成功滲透系統並交付其勒索軟件負載。
使用 PowerShell 命令交付 TrueBot DLL
Lace Tempest 的攻擊通常從執行 PowerShell 命令開始,他們使用這些命令將惡意 TrueBot DLL(動態鏈接庫)文件傳送到目標系統。然後這個 DLL 文件被加載到系統上,並作為進一步惡意活動的構建塊,例如建立與命令和控制服務器的連接以及下載其他惡意軟件組件。
連接到命令和控制服務器
一旦 TrueBot DLL 到位,Lace Tempest 的惡意軟件就會連接到命令和控制 (C2) 服務器。此連接允許攻擊者發送命令並從受感染的系統接收數據,從而促進數據洩露並允許部署其他惡意軟件組件或工具,例如Cobalt Strike Beacon。
利用 Cobalt Strike Beacon 進行勒索軟件交付
Lace Tempest 經常使用 Cobalt Strike Beacon 作為其攻擊鏈的一部分。 Cobalt Strike 是一種合法的滲透測試工具,其中包括一個名為“Beacon”的後開發代理。不幸的是,像 Lace Tempest 這樣的網絡犯罪分子已經將此工具重新用於他們的惡意目標。在這種情況下,他們使用 Cobalt Strike Beacon 將 Clop 勒索軟件傳送到目標系統。部署勒索軟件後,它會加密系統上的文件並要求贖金以獲取解密密鑰,從而有效地劫持受害者的數據。
勒索軟件操作的轉變
近年來,勒索軟件團伙(例如 Clop)的運作方式發生了明顯變化。攻擊者現在不再僅僅依靠加密數據和索取解密密鑰的贖金,而是優先竊取敏感數據以進行勒索。這種策略上的變化使網絡攻擊更具威脅性,因為惡意行為者現在可以利用竊取的數據迫使受害者支付贖金,即使他們已經制定了完善的備份策略。
專注於竊取數據進行勒索
勒索軟件團伙已經意識到,以勒索為目的竊取數據比僅僅依靠加密來劫持受害者更有利可圖。通過洩露敏感信息,攻擊者現在可以威脅在暗網上發布或出售被盜數據,這可能會給組織造成重大的財務和聲譽損失。這種額外的壓力增加了受害者支付所要求的贖金的可能性。
在攻擊中優先考慮數據竊取
與這種轉變相一致,像 Lace Tempest 這樣的勒索軟件團伙已經開始在他們的攻擊中優先考慮數據竊取。通過開發複雜的攻擊策略,例如使用 PowerShell 命令、TrueBot DLL 和 Cobalt Strike Beacon,這些惡意行為者能夠滲透到易受攻擊的系統並在加密之前洩露數據,從而有效地增加了勒索成功的機會。
Clop Gang 利用漏洞進行數據洩露的歷史
Clop 團伙有利用漏洞進行數據洩露的歷史。例如,在 2020 年,Clop 特工成功入侵了 Global Accellion,並利用該公司 File Transfer Appliance 應用程序中公開的漏洞從大約 100 家公司竊取了數據。最近,Clop 團伙利用 GoAnywhere MFT 安全文件共享平台中的零日漏洞從 130 家公司竊取數據。這種利用漏洞竊取數據的模式,再加上不斷發展的勒索軟件環境,凸顯了組織採取穩健的安全措施並維護最新軟件以保護其關鍵資產的必要性。