A Microsoft confirmou que a exploração ativa de servidores PaperCut está ligada a ataques que visam distribuir as famílias de ransomware Cl0p e LockBit.
A equipe de inteligência de ameaças da empresa atribui um subconjunto das intrusões a um ator financeiramente motivado que rastreia sob o nome de Lace Tempest (anteriormente DEV-0950), que se sobrepõe a outros grupos de hackers como FIN11, TA505 e Evil Corp.
“Nos ataques observados, o Lace Tempest executou vários comandos do PowerShell para entregar um DLL do TrueBot, que se conectou a um servidor C2, tentou roubar credenciais LSASS e injetou o payload do TrueBot no serviço conhost.exe”, disse a Microsoft em uma série de tweets.
A próxima fase do ataque incluiu a implantação do implante Cobalt Strike Beacon para realizar reconhecimento, mover-se lateralmente pela rede usando WMI e exfiltrar arquivos de interesse por meio do serviço de compartilhamento de arquivos MegaSync.
O Lace Tempest é afiliado ao ransomware Cl0p e é dito ter usado anteriormente exploits Fortra GoAnywhere MFT, bem como acesso inicial obtido por meio de infecções Raspberry Robin (atribuídas a outro ator apelidado de DEV-0856).
A Raspberry Robin, também chamada de verme QNAP, é considerada um malware de acesso como serviço que é usado como veículo de entrega para payloads de próxima etapa, como IcedID, Cl0p e LockBit.
Sabe-se que ela incorpora várias medidas de ofuscação, anti-de depuração e anti-máquina virtual para evitar a detecção.
A Microsoft disse que o ator ameaça incorporou falhas no PaperCut (2023-27350 e
CVE-2023-27351
) em seu kit de ferramentas de ataque já em 13 de abril, corroborando a avaliação anterior do fornecedor australiano de software de gerenciamento de impressão.
A exploração bem-sucedida das duas vulnerabilidades de segurança pode permitir que invasores remotos não autenticados executem código arbitrário e obtenham acesso não autorizado a informações sensíveis.
Um grupo separado de atividades também foi detectado usando as mesmas falhas, incluindo aquelas que levam a infecções por ransomware LockBit, acrescentou a Microsoft.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...