مصححة نقاط الضعف في PaperCut

واجه PaperCut ، وهو حل برمجيات إدارة الطباعة الشهير ، مؤخرًا ثغرتين كبيرتين استغلتهما عصابات برامج الفدية بشكل نشط. تم الآن تصحيح هذه الثغرات الأمنية من قبل الشركة للقضاء على المخاطر المحتملة.

CVE-2023-27350: خطأ غير مصدق في تنفيذ التعليمات البرمجية عن بُعد

هذه الثغرة الأمنية لها درجة CVSS v3.1 9.8 ، مما يشير إلى مستوى خطر حرج. سمح عيب تنفيذ التعليمات البرمجية عن بُعد غير المصدق للمهاجمين بتنفيذ تعليمات برمجية عشوائية على الأنظمة الضعيفة دون أي نوع من المصادقة ، مما يمنحهم وصولاً غير مقيد إلى البيانات الحساسة والقدرة على اختراق الشبكات. إضافة المزيد من المخاوف إلى خطورة هذه الثغرة الأمنية هو حقيقة أنه تم إصدار دليل على رمز المفهوم ، مما يوفر إرشادات لمزيد من مجرمي الإنترنت لاستغلال هذا الخلل بسهولة.

CVE-2023-27351: خطأ في إفشاء المعلومات غير المصدق

الثغرة الثانية ، CVE-2023-27351 ، لها درجة 8.2 من CVSS v3.1 ، والتي تعتبر عالية الخطورة. سمح هذا الخلل بالكشف عن معلومات غير مصدق عليها ، مما يعني أن المهاجمين يمكنهم الوصول إلى البيانات الحساسة دون الحاجة إلى بيانات اعتماد صالحة. إن استغلال هذه الثغرة الأمنية سيمكن مجرمي الإنترنت من الحصول على معلومات قيمة وربما استخدامها لهجمات موجهة أكثر دقة. على الرغم من أنها ليست خطيرة مثل عيب تنفيذ التعليمات البرمجية عن بُعد ، إلا أن هذه الثغرة الأمنية لا تزال تشكل تهديدًا كبيرًا لأمن وخصوصية المستخدمين.

تم إصدار دليل على رمز المفهوم

أدى توفير كود إثبات المفهوم (PoC) للجمهور إلى زيادة المخاطر المرتبطة بنقاط الضعف هذه. قدم كود PoC هذا خارطة طريق للمهاجمين المحتملين لاستغلال هذه العيوب حتى بدون معرفة تقنية واسعة. إصدار كود PoC سيف ذو حدين ؛ بينما يساعد في نشر الوعي حول الثغرات الأمنية ويساعد الباحثين الأمنيين على تطوير تصحيحات ، فإنه يوفر أيضًا للمهاجمين المحتملين مخططًا لشن الهجمات. تعتبر التصحيحات التي تم إصدارها لهذه الثغرات ضرورية لضمان أمان مستخدمي PaperCut وشبكاتهم.

الجهات الضارة التي تستغل نقاط الضعف في PaperCut

عندما أصبحت نقاط الضعف في PaperCut معروفة ، سرعان ما بدأت عصابات برامج الفدية المختلفة في استغلالها بنشاط. ومن بين هؤلاء الفاعلين الخبيثين ، سلالات برنامج الفدية Lace Tempest و LockBit ، وكلاهما يستهدف خوادم PaperCut الضعيفة للتسلل إلى الشبكات ونشر حمولات برامج الفدية الخاصة بهم.

Lace Tempest (شركة تابعة لـ Clop Ransomware) تستهدف الخوادم المعرضة للخطر

كانت Lace Tempest ، إحدى الشركات التابعة لمجموعة Clop ransomware المعروفة ، واحدة من أوائل الجهات الخبيثة التي استغلت نقاط الضعف في PaperCut. باستخدام تنفيذ التعليمات البرمجية عن بُعد غير المصدق وعيوب الكشف عن المعلومات ، تمكنت Lace Tempest من اختراق الخوادم الضعيفة ، والحصول على وصول غير مقيد إلى البيانات والشبكات الحساسة. بمجرد دخول هذه الأنظمة المخترقة ، نشر Lace Tempest برنامج الفدية Clop ، حيث قام بتشفير الملفات والمطالبة بفدية لتحرير مفاتيح فك التشفير.

LockBit Ransomware Strain تستهدف أيضًا خوادم PaperCut

LockBit ، سلالة أخرى سيئة السمعة من رانسوم وير ، تستغل بشكل نشط نقاط الضعف في خادم PaperCut. على غرار استراتيجية Lace Tempest ، استغل LockBit تنفيذ التعليمات البرمجية عن بُعد غير المصادق وعيوب الكشف عن المعلومات للتسلل إلى الأنظمة الضعيفة. من خلال الوصول إلى البيانات الحساسة والشبكات الداخلية ، نشر LockBit حمولة برامج الفدية الخاصة به ، مما أدى إلى الملفات المشفرة ومطالب الفدية. إن التبني السريع لهذه الثغرات الأمنية من قبل الجهات الخبيثة مثل LockBit و Lace Tempest يسلط الضوء على شدة عيوب PaperCut ويؤكد على أهمية تصحيح البرامج وتحديثها بانتظام للحماية من التهديدات السيبرانية.

تكتيكات هجوم العاصفة الدانتيل

طورت Lace Tempest ، الشركة التابعة لـ Clop ransomware ، تكتيكاتها الفريدة للهجوم لاستغلال نقاط ضعف خادم PaperCut بشكل فعال. من خلال استخدام أساليب متطورة مثل أوامر PowerShell واتصالات خادم الأوامر والتحكم و Cobalt Strike Beacon ، نجح Lace Tempest في اختراق الأنظمة وتقديم حمولة برامج الفدية الخاصة به.

استخدام أوامر PowerShell لتسليم TrueBot DLL

غالبًا ما تبدأ هجمات Lace Tempest بتنفيذ أوامر PowerShell ، والتي يستخدمونها لتسليم ملف TrueBot DLL (مكتبة الارتباط الديناميكي) الضار إلى النظام المستهدف. يتم تحميل ملف DLL هذا بعد ذلك على النظام ، ويعمل بمثابة لبنة لمزيد من الأنشطة الضارة ، مثل إنشاء اتصالات بخوادم الأوامر والتحكم وتنزيل مكونات برامج ضارة إضافية.

يتصل بخادم الأوامر والتحكم

بمجرد وضع TrueBot DLL في مكانه ، تتصل البرامج الضارة في Lace Tempest بخادم الأوامر والتحكم (C2). يتيح هذا الاتصال للمهاجمين إرسال أوامر واستلام البيانات من النظام المخترق ، مما يسهل عملية استخراج البيانات وتمكين نشر مكونات أو أدوات برامج ضارة إضافية ، مثل Cobalt Strike Beacon.

استخدام Cobalt Strike Beacon لتسليم برامج الفدية

غالبًا ما تستخدم Lace Tempest Cobalt Strike Beacon كجزء من سلسلة هجومها. Cobalt Strike هي أداة اختبار اختراق شرعية ، والتي تتضمن عامل ما بعد الاستغلال يسمى "منارة". لسوء الحظ ، أعاد مجرمو الإنترنت مثل Lace Tempest استخدام هذه الأداة لأهدافهم الخبيثة. في هذه الحالة ، يستخدمون Cobalt Strike Beacon لتقديم Clop ransomware إلى الأنظمة المستهدفة. بمجرد نشر برنامج الفدية ، يقوم بتشفير الملفات على النظام ويطلب فدية لمفاتيح فك التشفير ، مما يجعل بيانات الضحايا رهينة بشكل فعال.

التحول في عمليات برامج الفدية

كان هناك تحول ملحوظ في عمليات عصابات برامج الفدية ، مثل Clop ، في السنوات الأخيرة. بدلاً من الاعتماد فقط على تشفير البيانات والمطالبة بفدية لمفاتيح فك التشفير ، يعطي المهاجمون الآن الأولوية لسرقة البيانات الحساسة لأغراض الابتزاز. أدى هذا التغيير في التكتيكات إلى جعل الهجمات الإلكترونية أكثر تهديدًا ، حيث يمكن للجهات الفاعلة الخبيثة الآن الاستفادة من البيانات المسروقة لإجبار الضحايا على دفع الفدية ، حتى لو كانت لديهم استراتيجيات احتياطية سليمة.

ركز على سرقة البيانات من أجل الابتزاز

أدركت عصابات برامج الفدية أن سرقة البيانات لأغراض الابتزاز يمكن أن تؤدي إلى نتائج مربحة أكثر من مجرد الاعتماد على التشفير لاحتجاز الضحايا كرهائن. من خلال سرقة المعلومات الحساسة ، يمكن للمهاجمين الآن التهديد بنشر أو بيع البيانات المسروقة على الويب المظلم ، مما قد يتسبب في إلحاق ضرر مالي كبير بسمعة المؤسسات. ويزيد هذا الضغط الإضافي من احتمال دفع الضحايا للفدية المطلوبة.

إعطاء الأولوية لسرقة البيانات في الهجمات

تماشياً مع هذا التحول ، بدأت عصابات برامج الفدية مثل Lace Tempest في إعطاء الأولوية لسرقة البيانات في هجماتها. من خلال تطوير تكتيكات هجوم متطورة مثل استخدام أوامر PowerShell و TrueBot DLL و Cobalt Strike Beacon ، يمكن لهذه الجهات الخبيثة التسلل إلى الأنظمة الضعيفة وتسلل البيانات قبل تشفيرها ، مما يزيد بشكل فعال من فرص ابتزاز ناجح.

تاريخ Clop Gang مع استغلال الثغرات الأمنية لتصفية البيانات

تتمتع عصابة Clop بتاريخ من استغلال الثغرات الأمنية لأغراض سرقة البيانات. على سبيل المثال ، في عام 2020 ، نجح عملاء Clop في اختراق Global Accellion وسرقة البيانات من حوالي 100 شركة باستخدام نقاط الضعف التي تم الكشف عنها في تطبيق File Transfer Appliance الخاص بالشركة. في الآونة الأخيرة ، استخدمت عصابة Clop ثغرات يوم الصفر في منصة مشاركة الملفات الآمنة GoAnywhere MFT لسرقة البيانات من 130 شركة. يسلط هذا النمط من استغلال الثغرات الأمنية لسرقة البيانات ، جنبًا إلى جنب مع مشهد برامج الفدية المتطورة باستمرار ، الضوء على حاجة المؤسسات إلى اعتماد تدابير أمنية قوية والحفاظ على برامج محدثة لحماية أصولها الحيوية.