Microsoft hat erklärt, dass seine Recherchen ergeben haben, dass die Ransomware-Betreiber Clop und LockBit hinter den jüngsten Vorfällen von Datenschutzverletzungen im Zusammenhang mit den Schwachstellen von PaperCut MF/NG stecken.
Der Redmond-Riese hat kürzlich einen Twitter-Thread veröffentlicht, in dem er mit dem Finger auf diese beiden Gruppen zeigt.
„Microsoft schreibt die kürzlich gemeldeten Angriffe zu, bei denen die Schwachstellen CVE-2023-27350 und CVE-2023-27351 in der Druckverwaltungssoftware PaperCut ausgenutzt werden, um Clop-Ransomware dem als Lace Tempest verfolgten Bedrohungsakteur zuzuführen (überschneidet sich mit FIN11 und TA505)“, einer von die Tweets liest.
Bereitstellung von Cobalt Strike
Das Unternehmen sagte auch, dass sich die Aktivitäten von „Lace Tempest“ mit FIN11 und TA505 überschneiden, die beide mit der Clop-Ransomware-Operation in Verbindung stehen. Darüber hinaus nutzten die Angreifer den erlangten Zugriff, um TrueBot-Malware zu verbreiten, die ebenfalls zuvor mit Clop in Verbindung gebracht wurde.
Schließlich wurde Lace Tempest gesehen, wie es ein Cobalt Strike-Beacon lieferte, nach verbundenen Endpunkten suchte und sich mithilfe von WMI seitwärts bewegte. Alle wertvollen Daten, die sie finden könnten, würden sie mit der Filesharing-App MegaSync exfiltrieren, fügte Microsoft hinzu.
Im März 2023 wurde bekannt, dass die Entwickler von PaperCut zwei Fehler im PaperCut-Anwendungsserver behoben haben, die eine Remote-Code-Ausführung durch nicht authentifizierte Akteure ermöglichten.
Die beiden Fehler wurden seitdem als CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 verfolgt (nicht authentifizierter Remote-Code-Ausführungsfehler mit einem Schweregrad von 9,8, der alle PaperCut MF- oder NG-Versionen ab 8.0 auf allen Betriebssystemen betrifft) und CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (nicht authentifizierter Informationsoffenlegungsfehler mit einem Schweregrad von 8,2, der alle PaperCut MF- oder NG-Versionen 15.0 und neuer auf allen Betriebssystemen für Anwendungsserver betrifft).
Anfang dieser Woche wurde gesagt, dass die Fehler höchstwahrscheinlich viel gefährlicher seien als ursprünglich angenommen, da zwei Proofs-of-Concept (PoC) veröffentlicht wurden.
PaperCut ist eine Druckmanagement-Softwarelösung, die von Hunderten von Unternehmen und Unternehmen des öffentlichen Sektors auf der ganzen Welt verwendet wird.
Über: Piepender Computer (öffnet in neuem Tab)