Ngày 09 tháng 5 năm 2023Ravie Lakshmanan Gián điệp mạng / Lỗ hổng bảo mật
Các nhóm quốc gia Iran hiện đã tham gia cùng các tác nhân có động cơ tài chính trong việc tích cực khai thác lỗ hổng nghiêm trọng trong phần mềm quản lý in PaperCut, Microsoft tiết lộ vào cuối tuần.
Nhóm tình báo mối đe dọa của gã khổng lồ công nghệ cho biết họ đã quan sát thấy cả Bão cát Mango (Thủy ngân) và Bão cát Mint (Phốt pho) vũ khí hóa CVE-2023-27350 trong các hoạt động của họ để đạt được quyền truy cập ban đầu.
“Hoạt động này cho thấy khả năng liên tục kết hợp nhanh chóng của Mint Sandstorm [proof-of-concept] khai thác vào hoạt động của họ,” Microsoft cho biết trong một loạt các tweet.
Mặt khác, hoạt động khai thác CVE-2023-27350 liên quan đến Mango Sandstorm được cho là ở mức thấp hơn, với nhóm được nhà nước tài trợ “sử dụng các công cụ từ các lần xâm nhập trước để kết nối với cơ sở hạ tầng C2 của họ.”
Điều đáng chú ý là Bão cát Mango được liên kết với Bộ Tình báo và An ninh của Iran (MOIS) và Bão cát Mint được liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Cuộc tấn công đang diễn ra vài tuần sau khi Microsoft xác nhận có sự tham gia của Lace Tempest, một băng nhóm tội phạm mạng chồng chéo với các nhóm hack khác như FIN11, TA505 và Evil Corp, trong việc lạm dụng lỗ hổng để cung cấp phần mềm tống tiền Cl0p và LockBit.
CVE-2023-27350 (điểm CVSS: 9,8) liên quan đến một lỗ hổng nghiêm trọng trong bản cài đặt PaperCut MF và NG mà kẻ tấn công chưa được xác thực có thể khai thác để thực thi mã tùy ý với các đặc quyền HỆ THỐNG.
PaperCut đã cung cấp một bản vá vào ngày 8 tháng 3 năm 2023. Sáng kiến Zero Day (ZDI) của Trend Micro, tổ chức đã phát hiện và báo cáo sự cố, dự kiến sẽ công bố thêm thông tin kỹ thuật về sự cố này vào ngày 10 tháng 5 năm 2023.
Hơn nữa, công ty an ninh mạng VulnCheck, tuần trước, đã công bố chi tiết về một đường tấn công mới có thể phá vỡ các phát hiện hiện có, cho phép kẻ thù tận dụng lỗ hổng mà không bị cản trở.
Với việc ngày càng có nhiều kẻ tấn công tham gia vào nhóm khai thác PaperCut để xâm phạm các máy chủ dễ bị tấn công, các tổ chức bắt buộc phải nhanh chóng áp dụng các bản cập nhật cần thiết (các phiên bản 20.1.7, 21.2.11 và 22.0.9 trở lên).
Sự phát triển này cũng theo sau một báo cáo từ Microsoft tiết lộ rằng các tác nhân đe dọa Iran đang ngày càng dựa vào một chiến thuật mới kết hợp các hoạt động tấn công mạng với các hoạt động gây ảnh hưởng đa hướng để “thúc đẩy thay đổi địa chính trị phù hợp với các mục tiêu của chế độ”.
Sự thay đổi trùng hợp với tốc độ gia tăng trong việc áp dụng các lỗ hổng mới được báo cáo, việc sử dụng các trang web bị xâm nhập để ra lệnh và kiểm soát nhằm che giấu tốt hơn nguồn gốc của các cuộc tấn công cũng như khai thác các công cụ và thủ công tùy chỉnh để có tác động tối đa.
