Иранские хакеры присоединяются к атакам на уязвимые серверы Papercut

Компания Microsoft сообщила , что иранские хакерские группы, поддерживаемые государством, присоединились к продолжающимся атакам на уязвимые серверы управления печатью PaperCut MF/NG.

Эти группы отслеживаются компанией как Mango Sandstorm (также известная как Mercury или Muddywater, связанная с Министерством разведки и безопасности Ирана) и Mint Sandstorm (также известная как Phosphorus или APT35, связанная с Исламским революционным корпусом стражей Ирана).

«Деятельность по эксплуатации PaperCut со стороны Mint Sandstorm не кажется целенаправленной. Она затрагивает организации разных секторов и географий», — заявили в команде Microsoft Threat Intelligence .

«Наблюдаемая активность по эксплуатации CVE-2023-27350 со стороны Mango Sandstorm остаётся низкой, при этом операторы используют инструменты из предыдущих вторжений для подключения к своей C2 -инфраструктуре», — добавили специалисты.

Ранее, по заверениям Microsoft, уязвимости PaperCut активно эксплуатировались хакерской группировкой Lace Tempest, чья злонамеренная активность тесно пересекается с киберпреступными бандами FIN11 и TA505, связанными с операцией по распространению вымогательского ПО Clop.

Специалисты Microsoft также обнаружили, что некоторые атаки приводили к развёртыванию вымогательского ПО LockBit , но не смогли предоставить дополнительную информацию по этому поводу.

CISA добавила уязвимость PaperCut в свой каталог активно эксплуатируемых уязвимостей 21 апреля этого года и приказала федеральным агентствам обезопасить свои серверы PaperCut в течение трех недель — до 12 мая.

Уязвимость PaperCut, эксплуатируемая в этих атаках и отслеживаемая как CVE-2023-27350 , является критической уязвимостью удалённого выполнения кода без предварительной аутентификации в версиях PaperCut MF или NG 8.0 или позднее.

Это программное обеспечение для управления печатью на предприятиях используется крупными компаниями, государственными организациями и образовательными институтами по всему миру. Разработчик PaperCut утверждает, что у него более 100 миллионов пользователей из более чем 70 тысяч компаний.

Эксперты по безопасности выпустили PoC-эксплойты для этой уязвимости вскоре после первоначального раскрытия в марте 2023 года, а Microsoft предупредила несколько дней спустя, что эта уязвимость активно используется в дикой природе, в частности, для первичного доступа к корпоративным сетям бандами Clop и LockBit.

Хотя несколько компаний по кибербезопасности выпустили индикаторы компрометации и правила обнаружения для эксплойтов PaperCut, компания VulnCheck поделилась деталями нового метода атаки на прошлой неделе. С его помощью можно обойти существующие обнаружения, позволяя злоумышленникам продолжать эксплуатировать CVE-2023-27350 без помех.

«Обнаружения, которые фокусируются на одном конкретном методе выполнения кода или на небольшом подмножестве техник, используемых одной группой киберпреступников, обречены на бесполезность в следующем раунде атак. Злоумышленники учатся на публичных обнаружениях специалистов кибербезопасности, поэтому их ответственность — производить надёжные обнаружения, которые не просто обойти», — заявил Джейкоб Бэйнс, исследователь уязвимостей VulnCheck.

Клиентам и штатным специалистам по безопасности в компаниях, где используется PaperCut, рекомендуется немедленно обновить своё программное обеспечение PaperCut MF и PaperCut NG до версий 20.1.7, 21.2.11 и 22.0.9 и позднее. В них уязвимость удаленного выполнения кода уже исправлена, и атаки данным методом больше невозможны.