Οι ιρανικές ομάδες χάκερ εντάσσονται στο ξεφάντωμα επιθέσεων Papercut
Related Posts
Η Microsoft λέει ότι οι χάκερ που υποστηρίζονται από το Ιράν έχουν ενταχθεί στη συνεχιζόμενη επίθεση που στοχεύει ευάλωτους διακομιστές διαχείρισης εκτυπώσεων PaperCut MF/NG.
Αυτές οι ομάδες παρακολουθούνται ως Mango Sandstorm (γνωστός και ως Mercury ή Muddywater και συνδέονται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν) και Mint Sandstorm (επίσης γνωστό ως Phosphorus ή APT35 και συνδέονται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης του Ιράν).
“Η δραστηριότητα εκμετάλλευσης του PaperCut από την Mint Sandstorm φαίνεται ευκαιριακή, επηρεάζοντας οργανισμούς σε τομείς και γεωγραφικές περιοχές”, η ομάδα της Microsoft Threat Intelligence
είπε
.
“Η παρατηρούμενη δραστηριότητα εκμετάλλευσης CVE-2023-27350 από την Mango Sandstorm παραμένει χαμηλή, με τους χειριστές να χρησιμοποιούν εργαλεία από προηγούμενες εισβολές για να συνδεθούν στην υποδομή C2.”
Ακολουθούν επιθέσεις που συνδέονται με το Lace Tempest από τη Microsoft, μια ομάδα hacking της οποίας η κακόβουλη δραστηριότητα επικαλύπτεται με τις συμμορίες κυβερνοεγκλήματος FIN11 και TA505 που συνδέονται με τη λειτουργία ransomware Clop.
Ο Redmond διαπίστωσε επίσης ότι ορισμένες εισβολές οδήγησαν σε επιθέσεις ransomware LockBit, αλλά δεν μπόρεσε να παράσχει περισσότερες πληροφορίες όταν του ζητήθηκε να μοιραστεί πρόσθετες λεπτομέρειες.
CISA
πρόσθεσε αυτό το σφάλμα
στον κατάλογό της με ευπάθειες που έχουν εκμεταλλευτεί ενεργά στις 21 Απριλίου, διατάσσοντας τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τους διακομιστές PaperCut εντός τριών εβδομάδων
έως τις 12 Μαΐου 2023
.
Περισσότεροι ηθοποιοί εκμεταλλεύονται το μη επιδιορθωμένο CVE-2023-27350 στο λογισμικό διαχείρισης εκτυπώσεων Papercut από την τελευταία αναφορά στο Lace Tempest. Η Microsoft παρατήρησε τώρα τους υποστηριζόμενους από το Ιράν φορείς απειλών Mint Sandstorm (PHOSPHORUS) & Mango Sandstorm (MERCURY) να εκμεταλλεύονται το CVE-2023-27350.
— Microsoft Threat Intelligence (@MsftSecIntel)
5 Μαΐου 2023
Η ευπάθεια PaperCut που χρησιμοποιείται σε αυτές τις επιθέσεις και παρακολουθείται ως CVE-2023-27350 είναι ένα κρίσιμο σφάλμα εκτέλεσης απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας στις εκδόσεις PaperCut MF ή NG 8.0 ή νεότερες εκδόσεις.
Μεγάλες εταιρείες, κρατικοί οργανισμοί και εκπαιδευτικά ιδρύματα παγκοσμίως χρησιμοποιούν αυτό το λογισμικό διαχείρισης εταιρικών εκτυπώσεων, με τον προγραμματιστή του PaperCut να διεκδικεί περισσότερους από 100 εκατομμύρια χρήστες από περισσότερες από 70.000 εταιρείες.
Οι ερευνητές ασφαλείας κυκλοφόρησαν εκμεταλλεύσεις PoC για το σφάλμα RCE αμέσως μετά την αρχική αποκάλυψη τον Μάρτιο του 2023, με τη Microsoft να προειδοποιεί αρκετές ημέρες αργότερα ότι η ευπάθεια χρησιμοποιήθηκε για αρχική πρόσβαση σε εταιρικά δίκτυα από τις συμμορίες ransomware Clop και LockBit.
Ενώ πολλές εταιρείες κυβερνοασφάλειας έχουν δημοσιεύσει δείκτες συμβιβασμού και κανόνων εντοπισμού για εκμεταλλεύσεις PaperCut, το VulnCheck μοιράστηκε λεπτομέρειες
σε μια νέα μέθοδο επίθεσης
την περασμένη εβδομάδα που μπορεί να παρακάμψει τις υπάρχουσες ανιχνεύσεις, επιτρέποντας στους εισβολείς να συνεχίσουν να εκμεταλλεύονται το CVE-2023-27350 ανεμπόδιστα.
“Οι ανιχνεύσεις που εστιάζουν σε μια συγκεκριμένη μέθοδο εκτέλεσης κώδικα ή που εστιάζουν σε ένα μικρό υποσύνολο τεχνικών που χρησιμοποιούνται από έναν παράγοντα απειλής είναι καταδικασμένες να είναι άχρηστες στον επόμενο γύρο επιθέσεων”, δήλωσε ο ερευνητής ευπάθειας του VulnCheck, Jacob Baines.
«Οι επιτιθέμενοι μαθαίνουν από τις δημόσιες ανιχνεύσεις των υπερασπιστών, επομένως είναι ευθύνη των υπερασπιστών να παράγουν ισχυρές ανιχνεύσεις που δεν παρακάμπτονται εύκολα».
Οι υπερασπιστές ενθαρρύνονται να
άμεση αναβάθμιση
Το λογισμικό τους PaperCut MF και PaperCut NG στις εκδόσεις 20.1.7, 21.2.11 και 22.0.9 και νεότερες εκδόσεις, που αντιμετωπίζουν αυτό το σφάλμα RCE και αφαιρούν το διάνυσμα επίθεσης.
