今天小编分享的互联网经验:勒索軟體Clop和LockBit攻击PaperCut伺服器,欢迎阅读。
PaperCut 应用伺服器在上个月进行了更新,存在两个主要漏洞,该漏洞可能会允许远程攻击者执行未经认证的代码和访问敏感信息。
CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 该漏洞会影响到所有作業系統平台上的 PaperCut MF/NG 8.0 甚至是更高的版本,以及其他的应用伺服器。它同时还会影响应用伺服器和网站伺服器。
CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF 或 NG 15.0 或更高版本中的一个漏洞存在于每个应用伺服器平台上,可能会导致未经认证的信息泄露。
上周接到通知,趋势科技发现攻击者已在野利用了该漏洞,PaperCut 向用户发出了警报。客户伺服器必须尽快更新以确保数据的安全。
微软威胁情报部门在一条推文内写道,微软将最近报告的利用打印管理軟體 PaperCut 中的 CVE-2023-27350 和 CVE-2023-27351 漏洞并使用 Clop 勒索軟體发起的攻击归咎于 Lace Tempest(与 FIN11 和 TA505 重叠)威胁行为者。
上周,微软威胁情报局根据最近的一份关于 BR11 和 TA505 的报告,确定了 "Lace Tempest " 是利用这些漏洞的威胁行为者之一。
FIN11 是一个参与开发 Accellion FTA 勒索活动的组织,与臭名昭著的 Clop 勒索軟體团伙有关。据报道,Dridex 是另一个与 TA505 有关的恶意軟體。
Fortra 的檔案共享軟體 GoAnywhere 以前曾被与 Clop 勒索軟體组织有关的加密勒索軟體活动所利用。该组织还利用在网络安全界广泛传播的蠕虫病毒,对系统进行破坏。
PaperCut NG 和 PaperCut MF 存在影响伺服器安全的漏洞。未认证的攻击者可以利用 CVE-2023-27350 对 PaperCut 应用伺服器进行远程代码执行攻击,而对 PaperCut MF 或 NG 的远程代码执行攻击还可能使未认证的攻击者窃取存储在 PaperCut MF 或 NG 中的用户信息,如用户的姓名、全名、电子邮件地址、部门信息和信用卡号码。
除了访问从 PaperCut 内部账户检索出的哈希密码外,攻击者利用这一漏洞还可以从外部目录源检索密码,如 Microsoft 365 和 Google Workspace(尽管他们无法直接从 Microsoft 365 和 Google Workspace 等外部目录源访问检索出密码)。
此前有报告显示,Lace Tempest,也被称为 DEV-0950,是 Clop 的一个分支机构。Lace Tempest 已被检测到使用 GoAnywhere 漏洞和 Raspberry Robin 等恶意軟體作为勒索軟體攻击活动的一部分。由于此軟體存在漏洞,PaperCut 自 4 月 13 日起开始成为攻击目标。
Clop 已经开始针对该目标进行攻击
看来,对 PaperCut 伺服器的利用非常符合我们在过去三年中观察到的关于 Clop 勒索軟體团伙的攻击模式。
尽管 Clop 攻击活动会继续加密檔案,使得更多的主机被攻击,但根据海外的媒体报告说,该攻击行动更倾向于从受害者那里窃取大量的敏感数据。这样就可以向他们勒索赎金。
2020 年,Clop 利用了 Accellion 的一个零日漏洞,即 Accellion FTA,他们窃取了大约 100 家公司的数据。
GoAnywhere MFT 安全檔案共享平台的一个零日漏洞最近也曾经被 Clop 团伙所利用,他们使用该零日漏洞,从 130 家公司窃取了大量的敏感数据。