PaperCut漏洞被Clop与LockBit勒索集团所利用

关键要点

微软在周三表示，最近对PaperCut服务器的攻击与Clop和LockBit勒索集团有关，这些攻击利用了PaperCut NG/MF打印管理产品中的关键和高危漏洞，以窃取敏感的企业数据。

根据SC Media于4月26日报道，几乎有1800台暴露于互联网的服务器被攻陷，以便安装Atera和Syncro远程管理及维护软件，这些软件是通过一个曾经用于托管TrueBot恶意软件的域名实施的。TrueBot被认为与俄罗斯的Silence威胁行动有关，后者与Evil Corp以及TA505威胁集群存在重大联系，具体可以参考4月21日Huntress的报告。

然而，在一系列的推特消息中，微软将最近报告的利用PaperCut打印管理软件中的两个漏洞的攻击归因于Clop集团，其内部代号为Lace Tempest。

根据微软的说法，Lace Tempest作为Clop勒索软件的一个附属团体，一直在使用GoAnywhere漏洞和Raspberry Robin的感染手法进行勒索活动。该威胁组织在4月13日就已将PaperCut漏洞纳入其攻击。微软表示，在观察到的攻击中，Lace Tempest进行了多条PowerShell命令，传送了TrueBot动态链接库DLL，该DLL连接到一个C2服务器，试图窃取LSASS凭据，并将TrueBot负载注入conhostexe服务中。

PaperCut漏洞发展的时间线

关于PaperCut打印管理软件的情况已经被认识了一段时间，PaperCut在3月初发布了针对两个漏洞的补丁。而在4月19日，PaperCut确认这两个漏洞在外部被积极利用，并建议安全团队将服务器升级至最新版本。这些漏洞已在PaperCut MF和PaperCut NG的2017、21211及2209及后续版本中得到修复。

但在4月24日，Horizon3ai发布了一篇博客，详细介绍了该关键漏洞的技术信息及概念验机PoC利用代码，攻击者可以利用该漏洞绕过身份验证并在未修补的PaperCut服务器上执行代码。

该关键漏洞 CVE202327350 可能导致远程代码执行，其严重性评级为98。另一个高危漏洞 CVE202327351 使得远程攻击者能够在受影响的PaperCut产品安装上绕过身份验证。零日计划对此漏洞的严重性评级为82。

虽然微软将此次攻击归因于Lace Tempest添加了一些新的复杂性，但Horizon3ai的首席攻击工程师Zach Hanley指出，威胁组织对于这一问题的利用时间线更加引人关注。Hanley表示，PaperCut和零日计划在3月中旬发布了漏洞描述，而到了4月中旬，威胁组织已经开发出有效的利用代码，并对所有暴露于互联网的服务器开展大规模勒索活动这些都是在公开的利用代码可用之前发生的。

“这可能表明威胁组织正在积极监控像零日计划这样的漏洞威胁情报来源，它们在补丁发布之前列出了受影响的供应商和官方CVE，”Hanley说。“当一个漏洞影响到足够多的互联网连接设备时，威胁组织似乎会投资于针对性的漏洞研究，以便为勒索活动打下基础。随着威胁组织变得愈加高效，这种持续的威胁情报循环将在组织的安全模型中扮演越来越重要的角色。”

Fenix24的共同创始人Heath Renfrow补充说，Clop作为一个非常活跃、有组织的勒索服务RaaS运营，与其他犯罪团伙有联系，而其附属团体最近通过利用未修补的漏洞频频上新闻，例如最近的Go