勒索软件Clop和LockBit攻击PaperCut服务器 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

勒索软件Clop和LockBit攻击PaperCut服务器

~阳光~ 漏洞 2023-05-08 12:00:00
121464
收藏

导语:微软发言人在一份声明中说,最近利用PaperCut打印管理软件的两个漏洞进行的攻击很可能与Clop勒索软件的攻击计划有关。

PaperCut应用服务器在上个月进行了更新,存在两个主要漏洞,该漏洞可能会允许远程攻击者执行未经认证的代码和访问敏感信息。

CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 该漏洞会影响到所有操作系统平台上的PaperCut MF/NG 8.0甚至是更高的版本,以及其他的应用服务器。它同时还会影响应用服务器和网站服务器。

CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF或NG 15.0或更高版本中的一个漏洞存在于每个应用服务器平台上,可能会导致未经认证的信息泄露。

上周接到通知,趋势科技发现攻击者已在野利用了该漏洞,PaperCut向用户发出了警报。客户服务器必须尽快更新以确保数据的安全。

微软威胁情报部门在一条推文内写道,微软将最近报告的利用打印管理软件PaperCut中的CVE-2023-27350和CVE-2023-27351漏洞并使用Clop勒索软件发起的攻击归咎于Lace Tempest(与FIN11和TA505重叠)威胁行为者。

上周,微软威胁情报局根据最近的一份关于BR11和TA505的报告,确定了"Lace Tempest "是利用这些漏洞的威胁行为者之一。

FIN11是一个参与开发Accellion FTA勒索活动的组织,与臭名昭著的Clop勒索软件团伙有关。据报道,Dridex是另一个与TA505有关的恶意软件。

Fortra的文件共享软件GoAnywhere以前曾被与Clop勒索软件组织有关的加密勒索软件活动所利用。该组织还利用在网络安全界广泛传播的蠕虫病毒,对系统进行破坏。

PaperCut NG和PaperCut MF存在影响服务器安全的漏洞。未认证的攻击者可以利用CVE-2023-27350对PaperCut应用服务器进行远程代码执行攻击,而对PaperCut MF或NG的远程代码执行攻击还可能使未认证的攻击者窃取存储在PaperCut MF或NG中的用户信息,如用户的姓名、全名、电子邮件地址、部门信息和信用卡号码。

除了访问从PaperCut内部账户检索出的哈希密码外,攻击者利用这一漏洞还可以从外部目录源检索密码,如Microsoft 365和Google Workspace(尽管他们无法直接从Microsoft 365和Google Workspace等外部目录源访问检索出密码)。

此前有报告显示,Lace Tempest,也被称为DEV-0950,是Clop的一个分支机构。Lace Tempest已被检测到使用GoAnywhere漏洞和Raspberry Robin等恶意软件作为勒索软件攻击活动的一部分。由于此软件存在漏洞,PaperCut自4月13日起开始成为攻击目标。

Clop已经开始针对该目标进行攻击

看来,对PaperCut服务器的利用非常符合我们在过去三年中观察到的关于Clop勒索软件团伙的攻击模式。

尽管Clop攻击活动会继续加密文件,使得更多的主机被攻击,但根据海外的媒体报告说,该攻击行动更倾向于从受害者那里窃取大量的敏感数据。这样就可以向他们勒索赎金。

2020年,Clop利用了Accellion的一个零日漏洞,即Accellion FTA,他们窃取了大约100家公司的数据。

GoAnywhere MFT安全文件共享平台的一个零日漏洞最近也曾经被Clop团伙所利用,他们使用该零日漏洞,从130家公司窃取了大量的敏感数据。


本文翻译自:https://www.cysecurity.news/2023/04/ransomware-clop-and-lockbit-attacked.html如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务