Компания Microsoft связала недавние атаки на серверы PaperCut с операциями вымогательских группировок Clop и LockBit, которые использовали уязвимости для кражи корпоративных данных.
В марте 2023 года разработчики поставщика решений для управления печатью PaperCut устранили уязвимости CVE-2023-27350 (9,8 балла из 10 по шкале CVSS) и CVE-2023-27351 (8,2 балла из 10 по шкале CVSS). Они позволяли обойти аутентификацию и выполнить произвольный код на скомпрометированных серверах PaperCut с привилегиями SYSTEM, а также извлечь имена пользователей, полные имена, email-адреса и другие конфиденциальные данные. Подчеркивалось, что такие атаки не требуют взаимодействия с пользователем.
В середине апреля стало известно, что уязвимости уже эксплуатируют хакеры, а в открытом доступе появился PoC-эксплоит для наиболее опасной из них.
Как теперь сообщают аналитики Microsoft, за этими атаками на серверы PaperCut стоят вымогатели Clop и LockBit, которые используют баги для кражи корпоративных данных с уязвимых серверов.
«Microsoft связывает недавно зафиксированные атаки с использованием уязвимостей CVE-2023-27350 и CVE-2023-27351 в программном обеспечении для управления печатью PaperCut с доставкой программы-вымогателя Clop и злоумышленниками, отслеживаемыми как Lace Tempest (они же FIN11 и TA505)», — пишут эксперты Microsoft Threat Intelligence.
По информации исследователей, хакеры используют уязвимости в PaperCut с 13 апреля 2023 года, и с их помощью получают доступ к корпоративным сетям. После получения доступа к серверу, злоумышленники разворачивают в системе малварь TrueBot, которую связывают с вымогательскими операциями Clop, а также «маяк» Cobalt Strike, который применяется для бокового перемещения по сети жертвы и кражи данных с помощью файлообменного приложения MegaSync.
Microsoft заявляет, что некоторые инциденты окончились и атаками вымогателя LockBit, однако неясно, начались ли эти атаки до публикации эксплоитов, или после.
Эксперты призывают всех администраторов как можно скорее установить доступные патчи, поскольку другие злоумышленники, скорее всего, вскоре тоже возьмут свежие баги на вооружение. Так, PaperCut MF и NG настоятельно рекомендуется обновить до версий 20.1.7, 21.2.11 и 22.0.9.
