勒索軟件Clop和LockBit攻擊PaperCut服務器

PaperCut應用服務器在上個月進行了更新，存在兩個主要漏洞，該漏洞可能會允許遠程攻擊者執行未經認證的代碼和訪問敏感信息。

CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 該漏洞會影響到所有操作系統平臺上的PaperCut MF/NG 8.0甚至是更高的版本，以及其他的應用服務器。它同時還會影響應用服務器和網站服務器。

CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF或NG 15.0或更高版本中的一個漏洞存在于每個應用服務器平臺上，可能會導致未經認證的信息泄露。

上周接到通知，趨勢科技發現攻擊者已在野利用了該漏洞，PaperCut向用戶發出了警報。客戶服務器必須盡快更新以確保數據的安全。

微軟威脅情報部門在一條推文內寫道，微軟將最近報告的利用打印管理軟件PaperCut中的CVE-2023-27350和CVE-2023-27351漏洞并使用Clop勒索軟件發起的攻擊歸咎于Lace Tempest（與FIN11和TA505重疊）威脅行為者。

上周，微軟威脅情報局根據最近的一份關于BR11和TA505的報告，確定了"Lace Tempest "是利用這些漏洞的威脅行為者之一。

FIN11是一個參與開發Accellion FTA勒索活動的組織，與臭名昭著的Clop勒索軟件團伙有關。據報道，Dridex是另一個與TA505有關的惡意軟件。

Fortra的文件共享軟件GoAnywhere以前曾被與Clop勒索軟件組織有關的加密勒索軟件活動所利用。該組織還利用在網絡安全界廣泛傳播的蠕蟲病毒，對系統進行破壞。

PaperCut NG和PaperCut MF存在影響服務器安全的漏洞。未認證的攻擊者可以利用CVE-2023-27350對PaperCut應用服務器進行遠程代碼執行攻擊，而對PaperCut MF或NG的遠程代碼執行攻擊還可能使未認證的攻擊者竊取存儲在PaperCut MF或NG中的用戶信息，如用戶的姓名、全名、電子郵件地址、部門信息和信用卡號碼。

除了訪問從PaperCut內部賬戶檢索出的哈希密碼外，攻擊者利用這一漏洞還可以從外部目錄源檢索密碼，如Microsoft 365和Google Workspace（盡管他們無法直接從Microsoft 365和Google Workspace等外部目錄源訪問檢索出密碼）。

此前有報告顯示，Lace Tempest，也被稱為DEV-0950，是Clop的一個分支機構。Lace Tempest已被檢測到使用GoAnywhere漏洞和Raspberry Robin等惡意軟件作為勒索軟件攻擊活動的一部分。由于此軟件存在漏洞，PaperCut自4月13日起開始成為攻擊目標。

Clop已經開始針對該目標進行攻擊

看來，對PaperCut服務器的利用非常符合我們在過去三年中觀察到的關于Clop勒索軟件團伙的攻擊模式。

盡管Clop攻擊活動會繼續加密文件，使得更多的主機被攻擊，但根據海外的媒體報告說，該攻擊行動更傾向于從受害者那里竊取大量的敏感數據。這樣就可以向他們勒索贖金。

2020年，Clop利用了Accellion的一個零日漏洞，即Accellion FTA，他們竊取了大約100家公司的數據。

GoAnywhere MFT安全文件共享平臺的一個零日漏洞最近也曾經被Clop團伙所利用，他們使用該零日漏洞，從130家公司竊取了大量的敏感數據。