Microsoft: Phần mềm tống tiền Clop và LockBit gây ra vụ hack máy chủ PaperCut

11 tháng 5, 2023

​Microsoft cho rằng các cuộc tấn công gần đây vào máy chủ PaperCut là do hoạt động của mã độc tống tiền Clop và LockBit, chúng đã sử dụng các lỗ hổng để đánh cắp dữ liệu của công ty.

Tháng ba, hai lỗ hổng đã được sửa trong Máy chủ ứng dụng PaperCut cho phép kẻ tấn công từ xa thực hiện thực thi mã từ xa không được xác thực và tiết lộ thông tin:

  • CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Lỗ hổng thực thi mã từ xa không được xác thực ảnh hưởng đến tất cả PaperCut MF hoặc NG phiên bản 8.0 trở lên trên tất cả các nền tảng HĐH, cả ứng dụng và máy chủ trang web. (CVSS v3.1 score: 9.8  – critical)
  • CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Lỗ hổng tiết lộ thông tin chưa được xác thực ảnh hưởng đến tất cả PaperCut MF hoặc NG phiên bản 15.0 trở lên trên tất cả các nền tảng HĐH dành cho máy chủ ứng dụng. (CVSS v3.1 score: 8.2 – high)


Ngày 19 tháng 4, PaperCut tiết lộ rằng những lỗ hổng này đã bị khai thác điều này thúc giục các quản trị viên nâng cấp máy chủ lên phiên bản mới nhất.


Một khai thác PoC cho lỗ hổng RCE đã được phát hành vài ngày sau đó, cho phép các tác nhân đe dọa khác xâm phạm máy chủ bằng cách sử dụng các khai thác này.


Các nhóm ransomware gây ra các cuộc tấn công


Microsoft đã tiết lộ rằng nhóm mã độc tống tiền Clop và LockBit gây ra các cuộc tấn công PaperCut này và sử dụng chúng để đánh cắp dữ liệu của công ty từ các máy chủ dễ bị tấn công.


PaperCut là một phần mềm quản lý in ấn tương thích với tất cả các thương hiệu và nền tảng máy in lớn. Nó được các công ty lớn, tổ chức nhà nước và viện giáo dục sử dụng, với trang web của công ty tuyên bố được sử dụng bởi hàng trăm triệu người từ hơn 100 quốc gia.


Trong một loạt các tweet được đăng vào chiều ngày 26 tháng 4, Microsoft tuyên bố các cuộc tấn công PaperCut gần đây là do nhóm ransomware Clop gây ra.


“Microsoft cho rằng các cuộc tấn công được báo cáo gần đây khai thác các lỗ hổng CVE-2023-27350 và CVE-2023-27351 trong phần mềm quản lý in ấn PaperCut để cung cấp phần mềm tống tiền Clop cho tác nhân đe dọa được theo dõi là Lace Tempest (trùng với FIN11 và TA505)”, đại diện Các nhà nghiên cứu tình báo mối đe dọa của Microsoft đã đăng tin.


Microsoft theo dõi tác nhân đe dọa cụ thể này là 'Lace Tempest', có hoạt động trùng lặp với FIN11 và TA505, cả hai đều được liên kết với hoạt động của mã độc tống tiền Clop.


Microsoft cho rằng tác nhân đe dọa đã khai thác lỗ hổng PaperCut kể từ ngày 13 tháng 4 để truy cập lần đầu vào mạng công ty.


Sau khi có quyền truy cập vào máy chủ, họ đã triển khai phần mềm độc hại TrueBot, phần mềm độc hại này trước đây cũng được liên kết với hoạt động của mã độc tống tiền Clop.


Cuối cùng, Microsoft cho biết đèn hiệu Cobalt Strike đã được triển khai và sử dụng để lan truyền ngang qua mạng trong khi đánh cắp dữ liệu bằng ứng dụng chia sẻ tệp MegaSync.


Ngoài Clop, Microsoft cho biết một số vụ xâm nhập đã dẫn đến các cuộc tấn công ransomware LockBit. Tuy nhiên, Microsoft không rõ liệu các cuộc tấn công này có bắt đầu sau khi khai thác được phát hành công khai hay không.


Microsoft khuyến nghị quản trị viên áp dụng các bản vá có sẵn càng sớm càng tốt vì các tác nhân đe dọa khác có thể sẽ bắt đầu khai thác các lỗ hổng.


Mục tiêu chính của Clop


Việc khai thác các máy chủ PaperCut phù hợp với mô hình chung mà chúng ta đã thấy với nhóm ransomware Clop trong ba năm qua.


Mặc dù hoạt động của Clop vẫn mã hóa các tệp trong các cuộc tấn công, nhưng họ đã nói với BleepingComputer rằng họ thích đánh cắp dữ liệu hơn tống tiền các công ty trả tiền chuộc.


Sự thay đổi trong chiến thuật này lần đầu tiên được nhìn thấy năm 2020 khi Clop khai thác lỗ hổng zero-day của Accellion FTA để đánh cắp dữ liệu của khoảng 100 công ty.


Nhóm Clop gần đây đã sử dụng các lỗ hổng zero-day trong nền tảng chia sẻ tệp an toàn MFT của GoAnywhere để đánh cắp dữ liệu từ 130 công ty.


PaperCut bao gồm tính năng 'Lưu trữ bản in' giúp lưu tất cả các lệnh in và tài liệu được gửi qua máy chủ, khiến nó trở thành đối tượng cho các cuộc tấn công đánh cắp dữ liệu khỏi hoạt động.


Tất cả các tổ chức sử dụng PaperCut MF hoặc NG nên nâng cấp lên các phiên bản 20.1.7, 21.2.11 và 22.0.9 ngay lập tức hoặc sau đó để khắc phục các lỗ hổng này.


Cập nhật 4/27/28: Hoạt động của mã độc tống tiền Clop đã xác nhận với BleepingComputer là tác nhân các cuộc tấn công vào máy chủ PaperCut mà chúng bắt đầu khai thác ngày 13 tháng 4.


Tuy nhiên, chúng đã sử dụng các lỗ hổng để truy cập ban đầu vào mạng chứ không phải để đánh cắp tài liệu từ chính máy chủ.


Trả lời câu hỏi của chúng tôi về các cuộc tấn công LockBit, Microsoft cho biết không có gì để chia sẻ thêm.

Nguồn: bleepingcomputer.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: