Microsoft, araştırmasının, PaperCut MF/NG güvenlik açıklarıyla ilgili en son veri ihlali olaylarının arkasında Clop ve LockBit fidye yazılımı operatörlerinin olduğunu bulduğunu söyledi.
Redmond devi kısa bir süre önce parmağını bu iki gruba işaret ettiği bir Twitter dizisi yayınladı.
“Microsoft, Clop fidye yazılımı sağlamak için baskı yönetimi yazılımı PaperCut’taki CVE-2023-27350 ve CVE-2023-27351 güvenlik açıklarından yararlanan yakın zamanda bildirilen saldırıları, Lace Tempest (FIN11 ve TA505 ile çakışıyor) olarak izlenen tehdit aktörüne atfediyor” Tweetler okunur.
Cobalt Strike’ı Dağıtmak
Şirket ayrıca “Lace Tempest” faaliyetinin, her ikisi de Clop fidye yazılımı operasyonuyla bağlantılı olan FIN11 ve TA505 ile örtüştüğünü söyledi. Ayrıca tehdit aktörleri, daha önce Clop ile bağlantılı olan TrueBot kötü amaçlı yazılımını dağıtmak için elde edilen erişimi kullandı.
Son olarak, Lace Tempest’in bir Cobalt Strike işaretini teslim ettiği, bağlantılı uç noktalar için keşif yaptığı ve WMI kullanarak yatay olarak hareket ettiği görüldü. Microsoft, bulabilecekleri herhangi bir değerli veriyi dosya paylaşım uygulaması MegaSync kullanarak dışarı sızdıracaklarını ekledi.
Mart 2023’te, PaperCut geliştiricilerinin PaperCut Uygulama Sunucusunda kimliği doğrulanmamış aktörler tarafından uzaktan kod yürütülmesine izin veren iki kusuru düzelttiğine dair haberler çıktı.
İki kusur o zamandan beri CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 olarak izlendi (tüm işletim sistemlerinde 8.0’dan itibaren tüm PaperCut MF veya NG sürümlerini etkileyen, 9.8 önem dereceli kimliği doğrulanmamış uzaktan kod yürütme hatası) ve CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (uygulama sunucuları için tüm işletim sistemlerinde tüm PaperCut MF veya NG sürüm 15.0’ı ve daha yenisini etkileyen, 8.2 önem dereceli kimliği doğrulanmamış bilgi ifşa kusuru).
Bu haftanın başlarında, iki kavram kanıtı (PoC) yayınlandığından, kusurların büyük olasılıkla başlangıçta düşünülenden çok daha tehlikeli olduğu söylendi.
PaperCut, dünya çapında yüzlerce işletme ve kamu sektörü şirketi tarafından kullanılan bir baskı yönetimi yazılımı çözümüdür.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
