勒索软件Clop和LockBit攻击PaperCut服务器
2023-5-8 12:4:3 Author: 嘶吼专业版(查看原文) 阅读量:21 收藏

PaperCut应用服务器在上个月进行了更新,存在两个主要漏洞,该漏洞可能会允许远程攻击者执行未经认证的代码和访问敏感信息。

CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 该漏洞会影响到所有操作系统平台上的PaperCut MF/NG 8.0甚至是更高的版本,以及其他的应用服务器。它同时还会影响应用服务器和网站服务器。

CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF或NG 15.0或更高版本中的一个漏洞存在于每个应用服务器平台上,可能会导致未经认证的信息泄露。

上周接到通知,趋势科技发现攻击者已在野利用了该漏洞,PaperCut向用户发出了警报。客户服务器必须尽快更新以确保数据的安全。

微软威胁情报部门在一条推文内写道,微软将最近报告的利用打印管理软件PaperCut中的CVE-2023-27350和CVE-2023-27351漏洞并使用Clop勒索软件发起的攻击归咎于Lace Tempest(与FIN11和TA505重叠)威胁行为者。

上周,微软威胁情报局根据最近的一份关于BR11和TA505的报告,确定了"Lace Tempest "是利用这些漏洞的威胁行为者之一。

FIN11是一个参与开发Accellion FTA勒索活动的组织,与臭名昭著的Clop勒索软件团伙有关。据报道,Dridex是另一个与TA505有关的恶意软件。

Fortra的文件共享软件GoAnywhere以前曾被与Clop勒索软件组织有关的加密勒索软件活动所利用。该组织还利用在网络安全界广泛传播的蠕虫病毒,对系统进行破坏。

PaperCut NG和PaperCut MF存在影响服务器安全的漏洞。未认证的攻击者可以利用CVE-2023-27350对PaperCut应用服务器进行远程代码执行攻击,而对PaperCut MF或NG的远程代码执行攻击还可能使未认证的攻击者窃取存储在PaperCut MF或NG中的用户信息,如用户的姓名、全名、电子邮件地址、部门信息和信用卡号码。

除了访问从PaperCut内部账户检索出的哈希密码外,攻击者利用这一漏洞还可以从外部目录源检索密码,如Microsoft 365和Google Workspace(尽管他们无法直接从Microsoft 365和Google Workspace等外部目录源访问检索出密码)。

此前有报告显示,Lace Tempest,也被称为DEV-0950,是Clop的一个分支机构。Lace Tempest已被检测到使用GoAnywhere漏洞和Raspberry Robin等恶意软件作为勒索软件攻击活动的一部分。由于此软件存在漏洞,PaperCut自4月13日起开始成为攻击目标。

       Clop已经开始针对该目标进行攻击

看来,对PaperCut服务器的利用非常符合我们在过去三年中观察到的关于Clop勒索软件团伙的攻击模式。

尽管Clop攻击活动会继续加密文件,使得更多的主机被攻击,但根据海外的媒体报告说,该攻击行动更倾向于从受害者那里窃取大量的敏感数据。这样就可以向他们勒索赎金。

2020年,Clop利用了Accellion的一个零日漏洞,即Accellion FTA,他们窃取了大约100家公司的数据。

GoAnywhere MFT安全文件共享平台的一个零日漏洞最近也曾经被Clop团伙所利用,他们使用该零日漏洞,从130家公司窃取了大量的敏感数据。

参考及来源:https://www.cysecurity.news/2023/04/ransomware-clop-and-lockbit-attacked.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247560978&idx=2&sn=37140b503f65f97d013c45ac9088d300&chksm=e9143f28de63b63e77931ce4096bb93843b0f63d269dca0c705d530dcedacd2c148864b4710d#rd
如有侵权请联系:admin#unsafe.sh