Microsoft, PaperCut Sunucularına yapılan son saldırıları, kurumsal verileri çalmak için güvenlik açıklarını kullanan Clop ve Lockbit Fidye Yazılımı işlemlerine bağladı.
Geçen ay, uzaktan saldırganların kimliği doğrulanmamış uzaktan kod yürütme ve bilgi açıklaması yapmasına izin veren PaperCut uygulama sunucusunda iki güvenlik açığı sabitlendi:
19 Nisan'da Papercut, bu kusurların vahşi doğada aktif olarak sömürüldüğünü açıklayarak yöneticileri sunucularını en son sürüme yükseltmeye çağırdı.
RCE kusuru için bir POC istismarı, birkaç gün sonra piyasaya sürüldü ve daha fazla tehdit aktörlerinin bu istismarları kullanarak sunucuları ihlal etmesine izin verdi.
Bugün Microsoft, Clop ve Lockbit fidye yazılımı çetelerinin bu kağıt küme saldırılarının arkasında olduğunu ve bunları savunmasız sunuculardan kurumsal verileri çalmak için kullandığını açıkladı.
PaperCut, tüm büyük yazıcı markaları ve platformlarıyla uyumlu bir baskı yönetimi yazılımıdır. Büyük şirketler, devlet kuruluşları ve eğitim enstitüleri tarafından kullanılmaktadır ve şirketin web sitesi 100'den fazla ülkeden yüz milyonlarca insan tarafından kullanıldığını iddia eder.
Çarşamba öğleden sonra yayınlanan bir dizi tweet'te Microsoft, son Papercut saldırılarını Clop Fidye yazılım çetesine bağladığını belirtiyor.
"Microsoft, CVE-2023-27350 ve CVE-2023-27351'den yararlanan son zamanlarda bildirilen saldırıları, dantel temizliği olarak izlenen tehdit aktörüne klop fidye yazılımı sunmak için klop fidye yazılımı (FIN11 ve TA505 ile üstesinden gelir), tweeted Microsoft'un Tehdit İstihbarat Araştırmacıları.
Microsoft, bu özel tehdit oyuncusunu Fin11 ve TA505 ile örtüşen 'Dantel Tempest' olarak izler, her ikisi de klop fidye yazılımı işlemiyle bağlantılıdır.
Microsoft, tehdit oyuncusunun kurumsal ağa ilk erişim için 13 Nisan'dan bu yana kağıt kesim açıklıklarından yararlandığını söylüyor.
Sunucuya eriştikten sonra, daha önce klop fidye yazılımı işlemiyle de bağlantılı olan Truebot kötü amaçlı yazılımını dağıttılar.
Nihayetinde Microsoft, bir Cobalt Strike Beacon'un konuşlandırıldığını ve megasync dosya paylaşım uygulamasını kullanarak verileri çalırken ağdan yanal olarak yayıldığını söylüyor.
Clop'a ek olarak Microsoft, bazı müdahalelerin Lockbit fidye yazılımı saldırılarına yol açtığını söylüyor. Ancak, istismarların kamuya açıklandıktan sonra bu saldırıların başlayıp başlamadığı belirsizdir.
Microsoft, yöneticilerin mevcut yamaları mümkün olan en kısa sürede uygulamasını önerir.
Papercut sunucularının sömürülmesi, son üç yılda klop fidye yazılımı çetesi ile gördüğümüz genel bir desene uyuyor.
Clop işlemi hala saldırılarda dosyaları şifrelerken, BleepingComputer'a şirketleri fidye ödemeye zorlamak için veri çalmayı tercih ettiklerini söylediler.
Taktiklerdeki bu değişim ilk olarak 2020'de Clop'un yaklaşık 100 şirketten veri çalmak için bir FTA FTA Zero-Day güvenlik açığından yararlandığı zaman görüldü.
Clop çetesi yakın zamanda 130 şirketten veri çalmak için Goanywhere MFT güvenli dosya paylaşım platformunda sıfır günlük güvenlik açıkları kullandı.
PaperCut, sunucu aracılığıyla gönderilen tüm yazdırma işlerini ve belgeleri kaydeden bir 'baskı arşivleme' özelliği içerir ve bu da onu işlemden veri açığa vurma saldırıları için iyi bir aday haline getirir.
Papercut MF veya NG kullanan tüm kuruluşların, bu güvenlik açıklarını düzeltmek için hemen ve daha sonra 20.1.7, 21.2.11 ve 22.0.9 sürümlerine yükseltmeleri şiddetle tavsiye edilir.
GÜNCELLEME 4/27/28: Clop Ransomware işlemi, BleepingComputer'a 13 Nisan'da sömürmeye başladıkları Papercut sunucularına yönelik saldırıların arkasında olduklarını doğruladı.
Ancak, sunucunun kendisinden belgeleri çalmak yerine ağlara ilk erişim için güvenlik açıklarını kullandıklarını söylediler.
Lockbit saldırıları hakkındaki sorularımıza yanıt olarak Microsoft, paylaşacak başka bir şeyleri olmadığını söyledi.
Ransomware'de Hafta - 28 Nisan 2023 - Tekrar Clop
Fortra, Goany Where MFT Zero-Day saldırılarıyla ilgili bulguları paylaşıyor
Ransomware'de Hafta - 24 Mart 2023 - Clop aşırı yükü
Clop fidye yazılımı Saks Fifth Avenue, perakendeci, Mock Verilerinin Çalındığını Söyledi
Hitachi Energy, Clop Goany Where saldırılarından sonra veri ihlalini teyit ediyor
Kaynak: Bleeping Computer