Недавно выявленная брешь безопасности эксплуатируется всё активнее…
Компания Microsoft Для просмотра ссылки Войдиили Зарегистрируйся , что иранские хакерские группы, поддерживаемые государством, присоединились к продолжающимся атакам на уязвимые серверы управления печатью PaperCut MF/NG.
Эти группы отслеживаются компанией как Mango Sandstorm (также известная как Mercury или Muddywater, связанная с Министерством разведки и безопасности Ирана) и Mint Sandstorm (также известная как Phosphorus или APT35, связанная с Исламским революционным корпусом стражей Ирана).
«Деятельность по эксплуатации PaperCut со стороны Mint Sandstorm не кажется целенаправленной. Она затрагивает организации разных секторов и географий», — заявили в команде Microsoft Threat Intelligence .
«Наблюдаемая активность по эксплуатации Для просмотра ссылки Войдиили Зарегистрируйся со стороны Mango Sandstorm остаётся низкой, при этом операторы используют инструменты из предыдущих вторжений для подключения к своей C2 -инфраструктуре», — добавили специалисты.
Ранее, по заверениям Microsoft, уязвимости PaperCut активно эксплуатировались хакерской группировкой Lace Tempest, чья злонамеренная активность тесно пересекается с киберпреступными бандами FIN11 и TA505, связанными с операцией по распространению вымогательского ПО Clop.
Специалисты Microsoft также обнаружили, что некоторые атаки приводили к развёртыванию вымогательского ПО LockBit , но не смогли предоставить дополнительную информацию по этому поводу.
CISA Для просмотра ссылки Войдиили Зарегистрируйся уязвимость PaperCut в свой каталог активно эксплуатируемых уязвимостей 21 апреля этого года и приказала федеральным агентствам обезопасить свои серверы PaperCut в течение трех недель — до 12 мая.
Уязвимость PaperCut, эксплуатируемая в этих атаках и отслеживаемая как Для просмотра ссылки Войдиили Зарегистрируйся , является критической уязвимостью удалённого выполнения кода без предварительной аутентификации в версиях PaperCut MF или NG 8.0 или позднее.
Это программное обеспечение для управления печатью на предприятиях используется крупными компаниями, государственными организациями и образовательными институтами по всему миру. Разработчик PaperCut утверждает, что у него более 100 миллионов пользователей из более чем 70 тысяч компаний.
Эксперты по безопасности Для просмотра ссылки Войдиили Зарегистрируйся PoC-эксплойты для этой уязвимости вскоре после первоначального раскрытия в марте 2023 года, а Microsoft Для просмотра ссылки Войди или Зарегистрируйся несколько дней спустя, что эта уязвимость активно используется в дикой природе, в частности, для первичного доступа к корпоративным сетям бандами Clop и LockBit.
Хотя несколько компаний по кибербезопасности выпустили индикаторы компрометации и правила обнаружения для эксплойтов PaperCut, компания VulnCheck Для просмотра ссылки Войдиили Зарегистрируйся деталями нового метода атаки на прошлой неделе. С его помощью можно обойти существующие обнаружения, позволяя злоумышленникам продолжать эксплуатировать Для просмотра ссылки Войди или Зарегистрируйся без помех.
«Обнаружения, которые фокусируются на одном конкретном методе выполнения кода или на небольшом подмножестве техник, используемых одной группой киберпреступников, обречены на бесполезность в следующем раунде атак. Злоумышленники учатся на публичных обнаружениях специалистов кибербезопасности, поэтому их ответственность — производить надёжные обнаружения, которые не просто обойти», — заявил Джейкоб Бэйнс, исследователь уязвимостей VulnCheck.
Клиентам и штатным специалистам по безопасности в компаниях, где используется PaperCut, рекомендуется немедленно обновить своё программное обеспечение PaperCut MF и PaperCut NG до версий 20.1.7, 21.2.11 и 22.0.9 и позднее. В них уязвимость удаленного выполнения кода уже исправлена, и атаки данным методом больше невозможны.
Компания Microsoft Для просмотра ссылки Войди
Эти группы отслеживаются компанией как Mango Sandstorm (также известная как Mercury или Muddywater, связанная с Министерством разведки и безопасности Ирана) и Mint Sandstorm (также известная как Phosphorus или APT35, связанная с Исламским революционным корпусом стражей Ирана).
«Деятельность по эксплуатации PaperCut со стороны Mint Sandstorm не кажется целенаправленной. Она затрагивает организации разных секторов и географий», — заявили в команде Microsoft Threat Intelligence .
«Наблюдаемая активность по эксплуатации Для просмотра ссылки Войди
Ранее, по заверениям Microsoft, уязвимости PaperCut активно эксплуатировались хакерской группировкой Lace Tempest, чья злонамеренная активность тесно пересекается с киберпреступными бандами FIN11 и TA505, связанными с операцией по распространению вымогательского ПО Clop.
Специалисты Microsoft также обнаружили, что некоторые атаки приводили к развёртыванию вымогательского ПО LockBit , но не смогли предоставить дополнительную информацию по этому поводу.
CISA Для просмотра ссылки Войди
Уязвимость PaperCut, эксплуатируемая в этих атаках и отслеживаемая как Для просмотра ссылки Войди
Это программное обеспечение для управления печатью на предприятиях используется крупными компаниями, государственными организациями и образовательными институтами по всему миру. Разработчик PaperCut утверждает, что у него более 100 миллионов пользователей из более чем 70 тысяч компаний.
Эксперты по безопасности Для просмотра ссылки Войди
Хотя несколько компаний по кибербезопасности выпустили индикаторы компрометации и правила обнаружения для эксплойтов PaperCut, компания VulnCheck Для просмотра ссылки Войди
«Обнаружения, которые фокусируются на одном конкретном методе выполнения кода или на небольшом подмножестве техник, используемых одной группой киберпреступников, обречены на бесполезность в следующем раунде атак. Злоумышленники учатся на публичных обнаружениях специалистов кибербезопасности, поэтому их ответственность — производить надёжные обнаружения, которые не просто обойти», — заявил Джейкоб Бэйнс, исследователь уязвимостей VulnCheck.
Клиентам и штатным специалистам по безопасности в компаниях, где используется PaperCut, рекомендуется немедленно обновить своё программное обеспечение PaperCut MF и PaperCut NG до версий 20.1.7, 21.2.11 и 22.0.9 и позднее. В них уязвимость удаленного выполнения кода уже исправлена, и атаки данным методом больше невозможны.
- Источник новости
- www.securitylab.ru