Microsoft เผยแก๊งแรนซัมแวร์ Clop และ LockBit อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut
Microsoft ระบุว่าการโจมตีเซิร์ฟเวอร์ PaperCut ล่าสุดมาจากการเรียกค่าไถ่ของแก๊ง Clop และ LockBit โดยใช้ช่องโหว่ CVE-2023–27350 และ CVE-2023–27351 ที่ถูกนำไปใช้อย่างแพร่หลาย เนื่องจากมีการปล่อย PoC สำหรับทำ Remote Code Execution (RCE) เพื่อขโมยข้อมูลขององค์กรและทำให้ผู้โจมตีรายอื่นสามารถเจาะเซิร์ฟเวอร์ได้โดยใช้ช่องโหว่เหล่านี้
เดือนที่ผ่านมา มีการพบช่องโหว่ 2 รายการได้รับการแก้ไขใน PaperCut Application Server ที่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 (คะแนน CVSS v3.1: 9.8 ระดับความรุนแรง critical): เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ไม่ผ่านการตรวจสอบสิทธิ์ส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 8.0 หรือใหม่กว่าบนแพลตฟอร์ม OS ทั้งหมดสำหรับแอปพลิเคชันและไซต์เซิร์ฟเวอร์
CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (คะแนน CVSS v3.1: 8.2 ระดับความรุนแรง high): เป็นช่องโหว่ในการเปิดเผยข้อมูลที่ไม่ผ่านการรับรองความถูกต้องส่งผลกระทบต่อ PaperCut MF หรือ NG เวอร์ชัน 15.0 หรือใหม่กว่าบนแพลตฟอร์มระบบปฏิบัติการทั้งหมดสำหรับเซิร์ฟเวอร์แอปพลิเคชัน
PaperCut เป็นซอฟต์แวร์การจัดการการพิมพ์ที่รองรับแบรนด์และแพลตฟอร์มของเครื่องพิมพ์เกือบทั้งหมดที่ใช้งานผ่าน Windows, Linux, Mac, Chromebook, Android, iOS และ Novell เพื่อลดค่าใช้จ่ายและผลกระทบต่อสิ่งแวดล้อม ซึ่งถูกใช้โดยบริษัทขนาดใหญ่ องค์กรของรัฐ และสถาบันการศึกษา โดยเว็บไซต์ของบริษัทระบุว่ามีผู้ใช้หลายร้อยล้านคนจากกว่า 100 ประเทศ
ในวันพุธที่ 26 เมษายน 2023 Microsoft เปิดเผยว่าแก๊งแรนซัมแวร์ Clop และ LockBit อยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut เพื่อขโมยข้อมูลองค์กร โดย Microsoft ได้ติดตามผู้โจมตีในชื่อ 'Lace Tempest' ซึ่งมีกิจกรรมคาบเกี่ยวกับ FIN11 และ TA505 ที่เชื่อมโยงกับการดำเนินการของ Clop ransomware
Clop ransomware ได้ยืนยันกับ BleepingComputer ว่าพวกเขาอยู่เบื้องหลังการโจมตีเซิร์ฟเวอร์ PaperCut โดยได้เริ่มโจมตีในวันพฤหัสบดีที่ 13 เมษายน 2023 ผ่านช่องโหว่ของ PaperCut เพื่อเข้าถึงเครือข่ายของบริษัทเป็นครั้งแรก และทำการติดตั้งมัลแวร์ TrueBot อย่างไรก็ตามผู้โจมตีกล่าวว่าได้ใช้ช่องโหว่นี้เพื่อการเข้าถึงเครือข่ายแทนที่จะทำการขโมยไฟล์เอกสารจากเซิร์ฟเวอร์ และในการตอบคำถามเกี่ยวกับการถูกโจมตีด้วย LockBit ทาง Microsoft กล่าวว่าพวกเขาไม่มีอะไรจะแบ่งปันเพิ่มเติม แต่ได้มีการพูดถึง Cobalt Strike beacon ได้ถูกนำไปใช้เพื่อแพร่กระจายผ่านเครือข่าย และขโมยข้อมูลด้วยแอปพลิเคชันแชร์ไฟล์ MegaSync โดยนอกเหนือจาก Clop แล้วยังพบว่าการบุกรุกบางอย่างได้นำไปสู่การโจมตีด้วย LockBit ransomware
เป้าหมายสำคัญสำหรับ Clop คือ การใช้ประโยชน์จากเซิร์ฟเวอร์ PaperCut ด้วยรูปแบบทั่วไปที่เราพบเห็นจากแก๊งแรนซัมแวร์ Clop ในช่วงสามปีที่ผ่านมา ซึ่งการดำเนินการของ Clop ยังคงมีการเข้ารหัสไฟล์ในการโจมตี และยังได้บอกกับทาง BleepingComputer ว่าพวกเขาต้องการขโมยข้อมูลเพื่อเรียกค่าไถ่จากเหยื่อ
โดยการเปลี่ยนแปลงกลยุทธ์นี้เกิดขึ้นครั้งแรกในปี 2020 เมื่อ Clop ได้ใช้ช่องโหว่ของ Accelion FTA Zero-day เพื่อขโมยข้อมูลจากบริษัทประมาณ 100 แห่ง และเมื่อเร็ว ๆ นี้ยังมีการใช้ช่องโหว่ Zero-day ในแพลตฟอร์มแชร์ไฟล์ที่ปลอดภัยของ GoAnywhere MFT เพื่อขโมยข้อมูลจากบริษัท 130 แห่ง
PaperCut มีฟังก์ชั่น "Print Archives" ที่บันทึกงานพิมพ์และเอกสารทั้งหมดที่ส่งผ่านเซิร์ฟเวอร์ทำให้เป็นตัวเลือกที่ดีสำหรับการโจมตีเพื่อขโมยข้อมูล แต่อย่างไรก็ยังไม่เป็นที่แน่ชัดว่าการโจมตีเหล่านี้เริ่มขึ้นหลังจากที่มีการเปิดเผยช่องโหว่ดังกล่าวต่อสาธารณะหรือไม่ โดย Microsoft ได้แนะนำให้ผู้ดูแลระบบทำการแพตช์โดยเร็วที่สุด และแนะนำทุกองค์กรที่ใช้งาน PaperCut MF หรือ NG ทำการอัปเกรดเป็นเวอร์ชั่น 20.1.7, 21.2.11 และ 22.0.9 ทันทีหรือเวอร์ชั่นที่สูงกว่าเพื่อปิดไขช่องโหว่เหล่านี้
ที่มา : bleepingcomputer