Η Microsoft δηλώνει ότι κρατικά υποστηριζόμενοι χάκερ από το Ιράν έχουν ενταχθεί στη συνεχιζόμενη επίθεση με στόχο ευάλωτους servers διαχείρισης εκτυπώσεων PaperCut MF/NG.
Αυτές οι ομάδες εντοπίζονται ως Mango Sandstorm (επίσης γνωστή ως Mercury ή Muddywater και συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν) και Mint Sandstorm (επίσης γνωστή ως Phosphorus ή APT35 και συνδέεται με το Σώμα Φρουρών της Ισλαμικής Επανάστασης του Ιράν).
Δείτε επίσης: Το νέο Android FluHorse malware κλέβει τους κωδικούς σας
Ακολούθησαν επιθέσεις που συνδέονται με την “Lace Tempest”, μια ομάδα hacking που συνδέεται με τη Microsoft, της οποίας η κακόβουλη δραστηριότητα συμπίπτει με τις συμμορίες κυβερνοεγκλήματος FIN11 και TA505 που συνδέονται με την επιχείρηση Clop ransomware.
Η Redmond διαπίστωσε επίσης ότι ορισμένες εισβολές οδήγησαν σε επιθέσεις ransomware LockBit, αλλά δεν μπορούσε να παράσχει περισσότερες πληροφορίες όταν του ζητήθηκε να μοιραστεί πρόσθετες λεπτομέρειες.
Η CISA πρόσθεσε αυτό το σφάλμα στον κατάλογό της των ενεργά εκμεταλλευόμενων ευπαθειών στις 21 Απριλίου, διατάσσοντας τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τους servers PaperCut εντός τριών εβδομάδων έως τις 12 Μαΐου 2022.
Η ευπάθεια του PaperCut που αξιοποιήθηκε σε αυτές τις επιθέσεις, η οποία εντοπίζεται ως CVE-2023-27350, είναι ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα πριν από την αυθεντικοποίηση στις εκδόσεις 8.0 ή μεταγενέστερες του PaperCut MF ή NG.
Μεγάλες εταιρείες, κρατικοί οργανισμοί και εκπαιδευτικά ιδρύματα σε όλο τον κόσμο χρησιμοποιούν αυτό το λογισμικό διαχείρισης εκτυπώσεων για επιχειρήσεις, με τους προγραμματιστές του PaperCut να κάνουν λόγο για περισσότερους από 100 εκατομμύρια χρήστες από περισσότερες από 70.000 εταιρείες.
Οι ερευνητές ασφαλείας κυκλοφόρησαν PoC exploits για το σφάλμα RCE αμέσως μετά την αρχική αποκάλυψη τον Μάρτιο του 2023, με τη Microsoft να προειδοποιεί αρκετές ημέρες αργότερα ότι η ευπάθεια χρησιμοποιούνταν για αρχική πρόσβαση σε εταιρικά δίκτυα από τις συμμορίες Clop και LockBit ransomware.
Δείτε επίσης: Το CERT-UA προειδοποιεί για επιθέσεις malware SmokeLoader και RoarBAT κατά της Ουκρανίας
Ενώ πολλές εταιρείες κυβερνοασφάλειας έχουν κυκλοφορήσει indicators of compromise και κανόνες ανίχνευσης για τα exploits PaperCut, η VulnCheck μοιράστηκε λεπτομέρειες σχετικά με μια νέα μέθοδο επίθεσης την περασμένη εβδομάδα, η οποία μπορεί να παρακάμψει τις υπάρχουσες ανιχνεύσεις, επιτρέποντας στους επιτιθέμενους να συνεχίσουν ανεμπόδιστα την εκμετάλλευση του CVE-2023-27350.
«Οι ανιχνεύσεις που επικεντρώνονται σε μια συγκεκριμένη μέθοδο εκτέλεσης κώδικα ή που εστιάζουν σε ένα μικρό υποσύνολο τεχνικών που χρησιμοποιούνται από έναν απειλητικό παράγοντα είναι καταδικασμένες να είναι άχρηστες στον επόμενο γύρο επιθέσεων», δήλωσε ο ερευνητής ευπάθειας του VulnCheck, Jacob Baines.
«Οι επιτιθέμενοι μαθαίνουν από τις δημόσιες ανιχνεύσεις των υπερασπιστών, επομένως είναι ευθύνη των υπερασπιστών να παράγουν ισχυρές ανιχνεύσεις που δεν παρακάμπτονται εύκολα».
Δείτε επίσης: FBI: “Κλείνει” domains που συνδέονταν με DDoS-for-hire υπηρεσίες
Οι υπερασπιστές ενθαρρύνονται να αναβαθμίσουν αμέσως το λογισμικό PaperCut MF και PaperCut NG στις εκδόσεις 20.1.7, 21.2.11 και 22.0.9 ή νεότερες, οι οποίες αντιμετωπίζουν αυτό το σφάλμα RCE και αφαιρούν τον απειλητικό φορέα.
Πηγή πληροφοριών: bleepingcomputer.com
