Microsoft je potvrdio da je aktivna eksploatacija PaperCut servera povezana s napadima koji su dizajnirani da isporuče Cl0p i LockBit ransomware.
Tim za obavještavanje o pretnjama tehnološkog giganta pripisuje podskup upada financijski motivisanom hakeru koga pratimo pod imenom Lace Tempest (ranije DEV-0950), što se preklapa s drugim hakerskim grupama poput FIN11, TA505 i Evil Corp.
“U uočenim napadima, Lace Tempest je pokrenuo višestruke PowerShell komande kako bi isporučio TrueBot DLL, koji se povezao na C2 server, pokušao ukrasti LSASS kredenacijale i ubacio TrueBot payload u uslugu conhost.exe” rekao je Microsoft u nizu tweet-ova.
Sljedeća faza napada podrazumijevala je postavljanje Cobalt Strike Beacon implantata za izviđanje, lateralno kretanje kroz mrežu koristeći WMI i eksfiltrovanje datoteka od interesa putem servisa za razmjenu datoteka MegaSync.
Lace Tempest je podružnica Cl0p ransomware-a za koju se kaže da je prethodno koristila Fortra GoAnywhere MFT eksploataciju, kao i početni pristup stečen putem infekcije Raspberry Robin, pripisane drugom hakeru zvanom DEV-0856.
Raspberry Robin, takođe nazvan QNAP crv, je maliciozni softver pristup kao usluga koji se koristi kao sredstvo za isporuku payload-ova sljedeće faze kao što su IcedID, Cl0p i LockBit. Poznato je da uključuje različite mjere zamagljivanja, uklanjanja grešaka i anti-virtuelnih mašina kako bi se izbjeglo otkrivanje.
Microsoft je saopštio da je haker uključio PaperCut nedostatke, 2023-27350 i CVE-2023-27351, u svoj komplet alata za napad već 13. aprila, potvrđujući raniju procenu dobavljača softvera za upravljanje štampanjem iz Melburna.
Uspješno iskorištavanje sigurnosnih propusta dva odvojena klastera mogla bi omogućiti neautoriziranim udaljenim napadačima da proizvoljno izvrše kod i dobiju neovlašteni pristup osjetljivim informacijama.
Otkrivena je i zasebna grupa aktivnosti koja koristi iste mane, uključujući one koje dovode do LockBit ransomware infekcija, dodao je Redmond.
Prema ažuriranju koje je podijelila firma za kibernetičku bezbjednost pod imenom Huntress, nedostatci PaperCut-a su došli pod širu eksploataciju od strane hakera koji žele primijeniti rudare kriptovaluta Monero na zaraženim sistemima.
FIN7 iskorištava Veeam nedostatak CVE-2023-27532
Razvoj dolazi kada je ruska grupa kibernetičkih kriminalaca praćena dok je FIN7 povezan s napadima koji iskorištavaju instance Veeam-ovog sigurnosnog softvera za distribuciju POWERTRASH-a, osnovnog PowerShell-baziranog in-memory dropper-a koji izvršava ugrađeni payload.
Aktivnost, koju je WithSecure otkrio 28. marta 2023. godine, vjerovatno je uključivala zloupotrebu CVE-2023-27532, vrlo ozbiljne greške u Veeam Backup & Replication koja dozvoljava napadaču bez autentifikacije da dobije šifrovane kredencijale pohranjene u konfiguracijskoj bazi podataka i pristupi domaćinima infrastrukture. Zakrpljen je prošlog mjeseca.
“Haker je koristio niz naredbi kao i prilagođene skripte za prikupljanje informacija o host-u i mreži sa kompromitovanih mašina” izjavila je finska kompanija za kibernetičku bezbjednost. “Dalje, niz SQL komandi je izvršen za krađu informacija iz Veeam baze podataka.”
U napadima su takođe korišćene prilagođene PowerShell skripte za preuzimanje pohranjenih kredencijala sa rezervnih servera, prikupljanje sistemskih informacija i postavljanje aktivnog uporišta na kompromitovanom host-u izvršavanjem DICELOADER-a, aka Lizar ili Tirion, svaki put kada se uređaj pokrene.
Do sada nedokumentovana skripta za postojanost je dobila kodni naziv POWERHOLD, sa DICELOADER malverom dekodiranim i izvršenim pomoću drugog jedinstvenog učitavača koji se naziva DUBLOADER.
“Cilj ovih napada bio je nejasan u vrijeme pisanja ovog teksta, jer su ublaženi prije nego što su se u potpunosti materijalizovali” rekli su istraživači bezbjednosti Neeraj Singh i Mohammad Kazem Hassan Nejad, dodajući da nalazi upućuju na razvoj trgovine i modus operandi grupe.
POWERHOLD i DUBLOADER su daleko od jedinog novog malicioznog programa koje je FIN7 dodao u svoj napadni arsenal. IBM Security X-Force je nedavno bacio svjetlo na loader i backdoor nazvan Domino koji je dizajniran da olakša daljnju eksploataciju.
Mirai Botnet dodaje grešku TP-Link Archer Wi-Fi rutera u miks
U povezanom razvoju, Zero Day Initiative (ZDI) je otkrila da su autori Mirai botnet-a ažurirali svoj malver kako bi uključili CVE-2023-1389, veliku grešku u TP-Link Archer AX21 ruterima koja bi mogla dozvoliti hakerima da izvrše proizvoljni kod na pogođenim instalacijama.
Grešku CVE-2023-1389 sa CVSS rezultatom: 8,8, demonstrirali su istraživači iz tima Viettel i Qrious Security na Pwn2Own hakerskom takmičenju održanom u Torontu u decembru 2022. godine, što je navelo dobavljača da izda ispravke u martu 2023. godine.
Prvi znaci eksploatacije, prema ZDI-u, pojavili su se 11. aprila 2023. godine, s tim da su hakeri iskoristili propust kako bi uputili HTTP zahtjev serverima za komandu i kontrolu Mirai (C2) za preuzimanje i izvršavanje korisnih podataka odgovorni za absorbciju uređaja u botnet i pokretanje DDoS napada na servere igara.
“Ovo nije ništa novo za održavaoce Mirai botnet-a, koji su poznati po brzom iskorištavanju IoT uređaja kako bi zadržali svoje uporište u kompaniji” rekao je Peter Girnus, istraživač pretnji ZDI- a. “Primjena ove zakrpe je jedina preporučena radnja za rešavanje ove ranjivosti.”
Izvor: The Hacker News
