Grupos estatais iranianos agora se juntaram a atores motivados financeiramente para explorar ativamente uma falha crítica no software de gerenciamento de impressão PaperCut, afirmou a Microsoft.
A equipe de inteligência de ameaças da gigante da tecnologia observou que tanto o Mango Sandstorm quanto o Mint Sandstorm estavam usando a
CVE-2023-27350
em suas operações para obter acesso inicial.
"Essa atividade mostra a capacidade contínua do Mint Sandstorm de incorporar rapidamente os exploits de prova de conceito em suas operações", disse a Microsoft em uma série de tweets.
Por outro lado, a atividade de exploração da
CVE-2023-27350
associada ao Mango Sandstorm é dito estar no extremo inferior do espectro, com o grupo patrocinado pelo estado "usando ferramentas de intrusões anteriores para se conectar à sua infraestrutura C2."
Vale ressaltar que o Mango Sandstorm está ligado ao Ministério de Inteligência e Segurança do Irã (MOIS) e o Mint Sandstorm é dito estar associado ao Corpo de Guardiões da Revolução Islâmica (IRGC).
O ataque em andamento ocorre semanas depois que a Microsoft confirmou a participação do Lace Tempest, uma gangue de cibercrime que se sobrepõe a outros grupos de hackers como FIN11, TA505 e Evil Corp, em abusar da falha para fornecer ransomware Cl0p e LockBit.
A
CVE-2023-27350
(pontuação CVSS: 9,8) se refere a uma falha crítica nas instalações do PaperCut MF e NG que poderia ser explorada por um atacante não autenticado para executar código arbitrário com privilégios do sistema.
Um patch foi disponibilizado pelo PaperCut em 8 de março de 2023.
A Zero Day Initiative (ZDI) da Trend Micro, que descobriu e relatou o problema, deve divulgar mais informações técnicas sobre ele em 10 de maio de 2023.
A empresa de segurança cibernética VulnCheck, na semana passada, publicou detalhes sobre uma nova linha de ataque que pode contornar detecções existentes, permitindo que adversários aproveitem a falha sem impedimentos.
Com mais atacantes se juntando à exploração do PaperCut para invadir servidores vulneráveis, é imperativo que as organizações se movam rapidamente para aplicar as atualizações necessárias (versões 20.1.7, 21.2.11 e 22.0.9 e posteriores).
O desenvolvimento também segue um relatório da Microsoft que revelou que atores de ameaças iranianos estão cada vez mais confiando em uma nova tática que combina operações ofensivas de ciberataque com operações de influência de múltiplos aspectos para "alimentar mudanças geopolíticas em alinhamento com os objetivos do regime".
A mudança coincide com um aumento no ritmo de adoção de vulnerabilidades recentemente relatadas, o uso de sites comprometidos para controle de comando para melhor ocultar a origem dos ataques e a utilização de ferramentas personalizadas para impacto máximo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...