Microsoft a déclaré que ses recherches avaient révélé que les opérateurs de rançongiciels Clop et LockBit étaient à l’origine des derniers incidents de violation de données liés aux vulnérabilités PaperCut MF/NG.
Le géant de Redmond a récemment publié un fil Twitter dans lequel il pointe du doigt ces deux groupes.
« Microsoft attribue les attaques récemment signalées exploitant les vulnérabilités CVE-2023-27350 et CVE-2023-27351 dans le logiciel de gestion d’impression PaperCut pour fournir le rançongiciel Clop à l’acteur malveillant suivi sous le nom de Lace Tempest (chevauchement avec FIN11 et TA505) », l’un des les tweets lit.
Déploiement de Cobalt Strike
La société a également déclaré que l’activité de « Lace Tempest » chevauche FIN11 et TA505, qui sont toutes deux liées à l’opération de rançongiciel Clop. En outre, les acteurs de la menace ont utilisé l’accès obtenu pour diffuser le logiciel malveillant TrueBot, qui était également auparavant lié à Clop.
Enfin, Lace Tempest a été vu livrer une balise Cobalt Strike, rechercher des terminaux connectés et se déplacer latéralement à l’aide de WMI. Toutes les données précieuses qu’ils pourraient trouver – ils les exfiltreraient à l’aide de l’application de partage de fichiers MegaSync, a ajouté Microsoft.
En mars 2023, la nouvelle a éclaté que les développeurs de PaperCut ont corrigé deux failles dans le serveur d’applications PaperCut qui permettaient à des acteurs non authentifiés d’exécuter du code à distance.
Les deux failles ont depuis été suivies comme CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 (faille d’exécution de code à distance non authentifiée avec un score de gravité de 9,8, affectant toutes les versions de PaperCut MF ou NG à partir de 8.0 sur tous les systèmes d’exploitation) et CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 (faille de divulgation d’informations non authentifiées avec un score de gravité de 8,2, affectant toutes les versions PaperCut MF ou NG 15.0 et plus récentes sur tous les systèmes d’exploitation pour les serveurs d’applications).
Plus tôt cette semaine, il a été dit que les failles étaient probablement beaucoup plus dangereuses qu’on ne le pensait initialement, car deux preuves de concept (PoC) ont été publiées.
PaperCut est une solution logicielle de gestion d’impression utilisée par des centaines d’entreprises et d’entreprises du secteur public à travers le monde.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)