导语:微软发言人在一份声明中说,最近利用PaperCut打印管理软件的两个漏洞进行的攻击很可能与Clop勒索软件的攻击计划有关。
PaperCut应用服务器在上个月进行了更新,存在两个主要漏洞,该漏洞可能会允许远程攻击者执行未经认证的代码和访问敏感信息。
CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 该漏洞会影响到所有操作系统平台上的PaperCut MF/NG 8.0甚至是更高的版本,以及其他的应用服务器。它同时还会影响应用服务器和网站服务器。
CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF或NG 15.0或更高版本中的一个漏洞存在于每个应用服务器平台上,可能会导致未经认证的信息泄露。
上周接到通知,趋势科技发现攻击者已在野利用了该漏洞,PaperCut向用户发出了警报。客户服务器必须尽快更新以确保数据的安全。
微软威胁情报部门在一条推文内写道,微软将最近报告的利用打印管理软件PaperCut中的CVE-2023-27350和CVE-2023-27351漏洞并使用Clop勒索软件发起的攻击归咎于Lace Tempest(与FIN11和TA505重叠)威胁行为者。
上周,微软威胁情报局根据最近的一份关于BR11和TA505的报告,确定了"Lace Tempest "是利用这些漏洞的威胁行为者之一。
FIN11是一个参与开发Accellion FTA勒索活动的组织,与臭名昭著的Clop勒索软件团伙有关。据报道,Dridex是另一个与TA505有关的恶意软件。
Fortra的文件共享软件GoAnywhere以前曾被与Clop勒索软件组织有关的加密勒索软件活动所利用。该组织还利用在网络安全界广泛传播的蠕虫病毒,对系统进行破坏。
PaperCut NG和PaperCut MF存在影响服务器安全的漏洞。未认证的攻击者可以利用CVE-2023-27350对PaperCut应用服务器进行远程代码执行攻击,而对PaperCut MF或NG的远程代码执行攻击还可能使未认证的攻击者窃取存储在PaperCut MF或NG中的用户信息,如用户的姓名、全名、电子邮件地址、部门信息和信用卡号码。
除了访问从PaperCut内部账户检索出的哈希密码外,攻击者利用这一漏洞还可以从外部目录源检索密码,如Microsoft 365和Google Workspace(尽管他们无法直接从Microsoft 365和Google Workspace等外部目录源访问检索出密码)。
此前有报告显示,Lace Tempest,也被称为DEV-0950,是Clop的一个分支机构。Lace Tempest已被检测到使用GoAnywhere漏洞和Raspberry Robin等恶意软件作为勒索软件攻击活动的一部分。由于此软件存在漏洞,PaperCut自4月13日起开始成为攻击目标。
Clop已经开始针对该目标进行攻击
看来,对PaperCut服务器的利用非常符合我们在过去三年中观察到的关于Clop勒索软件团伙的攻击模式。
尽管Clop攻击活动会继续加密文件,使得更多的主机被攻击,但根据海外的媒体报告说,该攻击行动更倾向于从受害者那里窃取大量的敏感数据。这样就可以向他们勒索赎金。
2020年,Clop利用了Accellion的一个零日漏洞,即Accellion FTA,他们窃取了大约100家公司的数据。
GoAnywhere MFT安全文件共享平台的一个零日漏洞最近也曾经被Clop团伙所利用,他们使用该零日漏洞,从130家公司窃取了大量的敏感数据。
本文翻译自:https://www.cysecurity.news/2023/04/ransomware-clop-and-lockbit-attacked.html如若转载,请注明原文地址