Microsoft ha dicho que su investigación encontró que los operadores de ransomware Clop y LockBit están detrás de los últimos incidentes de violación de datos relacionados con las vulnerabilidades PaperCut MF/NG.
El gigante de Redmond publicó recientemente un hilo de Twitter en el que señala con el dedo a estos dos grupos.
“Microsoft atribuye los ataques informados recientemente que explotan las vulnerabilidades CVE-2023-27350 y CVE-2023-27351 en el software de administración de impresión PaperCut para entregar Clop ransomware al actor de amenazas rastreado como Lace Tempest (se superpone con FIN11 y TA505)”, uno de los tweets lee.
Despliegue de Cobalt Strike
La compañía también dijo que la actividad de «Lace Tempest» se superpone con FIN11 y TA505, quienes están vinculados a la operación de ransomware Clop. Además, los actores de amenazas utilizaron el acceso obtenido para entregar el malware TrueBot, que también se vinculó previamente a Clop.
Finalmente, se vio a Lace Tempest entregando una baliza Cobalt Strike, buscando puntos finales conectados y moviéndose lateralmente usando WMI. Cualquier dato valioso que pudieran encontrar, lo filtrarían usando la aplicación MegaSync para compartir archivos, agregó Microsoft.
En marzo de 2023, se conoció la noticia de que los desarrolladores de PaperCut corrigieron dos fallas en el servidor de aplicaciones de PaperCut que permitían que actores no autenticados realizaran la ejecución remota de código.
Desde entonces, las dos fallas han sido rastreadas como CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 (falla de ejecución de código remoto no autenticado con un puntaje de gravedad de 9.8, que afecta a todas las versiones de PaperCut MF o NG desde 8.0 en adelante en todos los sistemas operativos) y CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (falla de divulgación de información no autenticada con un puntaje de gravedad de 8.2, que afecta a todas las versiones 15.0 y posteriores de PaperCut MF o NG en todos los sistemas operativos para servidores de aplicaciones).
A principios de esta semana, se dijo que las fallas probablemente eran mucho más peligrosas de lo que se pensaba inicialmente, ya que se lanzaron dos pruebas de concepto (PoC).
PaperCut es una solución de software de gestión de impresión utilizada por cientos de empresas y empresas del sector público de todo el mundo.
Vía: BleepingComputer (se abre en una pestaña nueva)