ABD siber güvenlik ve istihbarat teşkilatları, ABD olarak bilinen bir tehdit aktörü tarafından gerçekleştirilen saldırılara karşı uyarıda bulundu. Bl00dy Fidye Yazılımı Çetesi savunmasız PaperCut sunucularını ülkedeki eğitim tesisleri sektörüne karşı istismar etmeye çalışan.
Federal Soruşturma Bürosu (FBI) ile Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü yayınlanan ortak bir siber güvenlik danışma belgesinde, saldırıların Mayıs 2023’ün başlarında gerçekleştiğini söyledi.
“Bl00dy Fidye Yazılımı Çetesi, PaperCut sunucularının savunmasız olduğu Eğitim Tesisleri Alt Sektöründeki kurban ağlarına erişim sağladı. CVE-2023-27350 internete maruz kaldı” ajansları söz konusu.
“Nihayetinde, bu operasyonlardan bazıları kurban sistemlerinin veri hırsızlığına ve şifrelenmesine yol açtı. Bl00dy Fidye Yazılımı Çetesi, şifrelenmiş dosyaların şifresinin çözülmesi karşılığında ödeme talep eden kurban sistemlerine fidye notları bıraktı.”
CVE-2023-27350, PaperCut MF ve NG’nin bazı sürümlerini etkileyen ve uzaktaki bir aktörün kimlik doğrulamasını atlamasına ve aşağıdaki etkilenen kurulumlarda uzaktan kod yürütmesine olanak tanıyan, artık yamalanmış kritik bir güvenlik açığıdır.
Nisan 2023’ün ortasından bu yana güvenlik açığından kötü niyetli bir şekilde yararlanıldığı gözlemleniyor; saldırılar, öncelikle meşru uzaktan yönetim ve bakım (RMM) yazılımını dağıtmak ve bu aracı, güvenliği ihlal edilmiş sistemlere Cobalt Strike Beacons, DiceLoader ve TrueBot gibi ek yükleri bırakmak için kullanmak üzere silah haline getiriyor. sistemler.
Açıklama siber güvenlik firması eSentire olarak geliyor ortaya çıkarıldı bir XMRig kripto para madencisi bırakmak için CVE-2023–27350’nin kötüye kullanılmasını içeren, isimsiz bir eğitim sektörü müşterisini hedefleyen yeni etkinlik.
Microsoft’un geçen hafta açıkladığı üzere, PaperCut baskı yönetimi sunucularına yönelik saldırılar, İran devlet destekli tehdit grupları Mango Sandstorm (aka MuddyWater veya Mercury) ve Mint Sandstorm (namı diğer Phosphorus) tarafından da konuşlandırıldı.
