PaperCuti haavatavused on parandatud
Populaarne prindihalduse tarkvaralahendus PaperCut seisis hiljuti silmitsi kahe olulise haavatavusega, mida lunavararühmad aktiivselt ära kasutasid. Ettevõte on need haavatavused nüüd potentsiaalsete riskide kõrvaldamiseks parandanud.
Sisukord
CVE-2023-27350: autentimata koodi kaugkäitamise viga
Selle haavatavuse CVSS v3.1 skoor on 9,8, mis näitab kriitilist riskitaset. Autentimata koodi kaugkäitamise viga võimaldas ründajatel käivitada haavatavates süsteemides suvalist koodi ilma igasuguse autentimiseta, andes neile piiramatu juurdepääsu tundlikele andmetele ja võimaluse võrke ohustada. Selle haavatavuse tõsidusele lisab muret asjaolu, et avaldati kontseptsiooni koodi tõend, mis annab juhised rohkematele küberkurjategijatele, kuidas seda viga hõlpsalt ära kasutada.
CVE-2023-27351: Autentseerimata teabe avalikustamise viga
Teise haavatavuse CVE-2023-27351 CVSS v3.1 skoor on 8,2, mida peetakse suure riskiga. See viga võimaldas autentimata teabe avaldamist, mis tähendab, et ründajad pääsesid tundlikele andmetele juurde ilma kehtivaid mandaate vajamata. Selle haavatavuse ärakasutamine võimaldaks küberkurjategijatel saada väärtuslikku teavet ja potentsiaalselt kasutada seda täpsemate sihitud rünnakute jaoks. Kuigi see haavatavus pole nii kriitiline kui koodi kaugkäitamise viga, kujutas see siiski märkimisväärset ohtu kasutajate turvalisusele ja privaatsusele.
Kontseptsiooni tõendamise kood on avaldatud
Avalikkusele kättesaadavaks tehtud kontseptsiooni tõestamise (PoC) kood suurendas nende haavatavustega seotud riske. See PoC-kood andis potentsiaalsetele ründajatele teekaardi, et neid vigu ära kasutada isegi ilma ulatuslike tehniliste teadmisteta. PoC koodi vabastamine on kahe teraga mõõk; Kuigi see aitab levitada teadlikkust turvavigade kohta ja aitab turvauurijatel välja töötada plaastreid, annab see potentsiaalsetele ründajatele ka plaani rünnakute läbiviimiseks. Nende haavatavuste jaoks välja antud paigad on PaperCuti kasutajate ja nende võrkude turvalisuse tagamiseks üliolulised.
Pahatahtlikud osalejad, kes kasutavad PaperCuti haavatavust
Kui PaperCuti haavatavused said teatavaks, hakkasid erinevad lunavarajõugud neid kiiresti aktiivselt ära kasutama. Nende pahatahtlike osalejate hulgas olid lunavaratüved Lace Tempest ja LockBit, mis mõlemad olid suunatud haavatavatele PaperCuti serveritele, et tungida võrkudesse ja juurutada nende lunavara kasulikku koormust.
Lace Tempest (Clop Ransomware Affiliate) sihib haavatavaid servereid
Tuntud lunavaragrupi Clopi sidusettevõte Lace Tempest oli üks esimesi pahatahtlikke tegureid, kes kasutas PaperCuti turvaauke. Kasutades autentimata kaugkäitamise ja teabe avalikustamise vigu, suutis Lace Tempest ohustada haavatavaid servereid, saades piiramatu juurdepääsu tundlikele andmetele ja võrkudele. Nendesse ohustatud süsteemidesse sattudes võttis Lace Tempest kasutusele Clopi lunavara, krüpteerides failid ja nõudes dekrüpteerimisvõtmete vabastamiseks lunaraha.
LockBit Ransomware Strain sihib ka PaperCuti servereid
LockBit , teine kurikuulus lunavara tüvi, on samuti aktiivselt ära kasutanud PaperCuti serveri haavatavusi. Sarnaselt Lace Tempesti strateegiaga kasutas LockBit haavatavatesse süsteemidesse tungimiseks ära autentimata kaugkäitamise ja teabe avaldamise vigu. Juurdepääsuga tundlikele andmetele ja sisevõrkudele rakendas LockBit oma lunavara kasuliku koormuse, mis viis krüptitud failide ja lunarahanõueteni. Nende haavatavuste kiire kasutuselevõtt pahatahtlike osalejate, nagu LockBit ja Lace Tempest, poolt tõstab esile nende PaperCuti vigade tõsiduse ja rõhutab, kui oluline on küberohtude eest kaitsmiseks tarkvara regulaarselt parandada ja värskendada.
Lace Tempesti rünnakutaktika
Clopi lunavara sidusettevõte Lace Tempest on välja töötanud oma ainulaadse rünnakutaktika, et PaperCuti serveri haavatavusi tõhusalt ära kasutada. Kasutades keerukaid meetodeid, nagu PowerShelli käsud, käsu- ja juhtimisserveri ühendused ning Cobalt Strike Beacon, on Lace Tempest edukalt tunginud süsteemidesse ja edastanud oma lunavara kasuliku koormuse.
PowerShelli käskude kasutamine TrueBoti DLL-i edastamiseks
Lace Tempesti rünnakud algavad sageli PowerShelli käskude täitmisega, mida nad kasutavad pahatahtliku TrueBoti DLL-faili (Dynamic Link Library) edastamiseks sihitud süsteemi. See DLL-fail laaditakse seejärel süsteemi ja see toimib edasiste pahatahtlike tegevuste ehitusplokina, nagu ühenduse loomine käsu- ja juhtimisserveritega ning täiendavate pahavarakomponentide allalaadimine.
Ühendab käsu- ja juhtimisserveriga
Kui TrueBoti DLL on paigas, loob Lace Tempesti pahavara ühenduse käsu- ja juhtimisserveriga (C2). See ühendus võimaldab ründajatel saata käske ja vastu võtta andmeid ohustatud süsteemist, hõlbustades andmete väljafiltreerimist ja võimaldades juurutada täiendavaid pahavara komponente või tööriistu, nagu Cobalt Strike Beacon.
Cobalt Strike Beaconi kasutamine lunavara kohaletoimetamiseks
Lace Tempest kasutab sageli oma rünnakuahela osana Cobalt Strike Beaconit. Cobalt Strike on seaduslik läbitungimise testimise tööriist, mis sisaldab ekspluateerimisjärgset agenti nimega "Beacon". Kahjuks on küberkurjategijad nagu Lace Tempest selle tööriista oma pahatahtlike eesmärkide jaoks ümber kasutanud. Sel juhul kasutavad nad Clopi lunavara sihtsüsteemidesse toimetamiseks Cobalt Strike Beaconit. Kui lunavara on kasutusele võetud, krüpteerib see süsteemis olevad failid ja nõuab dekrüpteerimisvõtmete eest lunaraha, hoides ohvrite andmeid tõhusalt pantvangis.
Nihutamine lunavaratoimingutes
Lunavarajõukude, nagu Clop, tegevuses on viimastel aastatel toimunud märgatav nihe. Selle asemel, et loota ainult andmete krüpteerimisele ja nõuda dekrüpteerimisvõtmete eest lunaraha, eelistavad ründajad nüüd väljapressimise eesmärgil tundlike andmete varastamist. See taktikamuutus on muutnud küberrünnakud veelgi ähvardavamaks, kuna pahatahtlikud osalejad saavad nüüd varastatud andmeid kasutada, et sundida ohvreid lunaraha maksma, isegi kui neil on paigas usaldusväärsed varustrateegiad.
Keskenduge andmete varastamisele väljapressimise eesmärgil
Lunavarajõugud on mõistnud, et andmete varastamine väljapressimise eesmärgil võib anda tulusamaid tulemusi kui ohvrite pantvangis hoidmine lihtsalt krüpteerimisele. Tundlikku teavet eksfiltreerides võivad ründajad nüüd ähvardada varastatud andmeid pimedas veebis avaldada või müüa, põhjustades organisatsioonidele märkimisväärset rahalist ja mainekahju. See lisandunud surve suurendab tõenäosust, et ohvrid maksavad nõutud lunaraha.
Andmevarguste eelistamine rünnakutes
Kooskõlas selle nihkega on lunavarajõugud, nagu Lace Tempest, hakanud oma rünnakutes eelistama andmete vargusi. Arendades keerukaid ründetaktikaid, nagu PowerShelli käskude, TrueBoti DLL-i ja Cobalt Strike Beaconi kasutamine, suudavad need pahatahtlikud osalised tungida haavatavatesse süsteemidesse ja eksfiltreerida andmeid enne nende krüpteerimist, suurendades tõhusalt nende eduka väljapressimise võimalusi.
Clop Gang'i ajalugu, kasutades turvaauke andmete eksfiltreerimiseks
Clopi jõuk on varem turvaauke andmete väljafiltreerimise eesmärgil ära kasutanud. Näiteks 2020. aastal häkkisid Clopi töötajad edukalt Global Accellioni ja varastasid andmeid ligikaudu 100 ettevõttelt, kasutades ettevõtte File Transfer Appliance'i rakenduse avalikustatud turvaauke. Hiljuti kasutas Clopi jõuk GoAnywhere MFT turvalise failijagamisplatvormi nullpäeva turvaauke, et varastada andmeid 130 ettevõttelt. See turvaaukude ärakasutamise muster andmete varguseks koos pidevalt areneva lunavaramaastikuga toob esile organisatsioonide vajaduse võtta kasutusele tugevad turvameetmed ja säilitada ajakohastatud tarkvara, et kaitsta oma kriitilisi varasid.