PaperCut漏洞被Clop与LockBit勒索集团所利用

关键要点

• 微软指责Clop和LockBit勒索集团利用PaperCut打印管理软件中的关键漏洞进行攻击，目的在于窃取敏感企业数据。
• PaperCut在3月初发布了针对两个漏洞的补丁，但攻击者在漏洞发布后迅速开发出有效的利用代码。
• 此次事件再次提醒企业关注网络安全，及时修补漏洞，以防数据被勒索。

微软在周三表示，最近对PaperCut服务器的攻击与Clop和LockBit勒索集团有关，这些攻击利用了PaperCutNG/MF打印管理产品中的关键和高危漏洞，以窃取敏感的企业数据。

根据SC Media
于4月26日报道，几乎有1800台暴露于互联网的服务器被攻陷，以便安装Atera和Syncro远程管理及维护软件，这些软件是通过一个曾经用于托管TrueBot
恶意软件的域名实施的。TrueBot 被认为与俄罗斯的Silence 威胁行动有关，后者与EvilCorp以及TA505威胁集群存在重大联系，具体可以参考4月21日Huntress 的报告。

然而，在一系列的推特消息中，微软将最近报告的利用PaperCut打印管理软件中的两个漏洞的攻击归因于Clop集团，其内部代号为Lace Tempest。

根据微软的说法，Lace Tempest作为Clop勒索软件的一个附属团体，一直在使用GoAnywhere漏洞和RaspberryRobin的感染手法进行勒索活动。该威胁组织在4月13日就已将PaperCut漏洞纳入其攻击。微软表示，在观察到的攻击中，LaceTempest进行了多条PowerShell命令，传送了TrueBot动态链接库（DLL），该DLL连接到一个C2服务器，试图窃取LSASS凭据，并将TrueBot负载注入conhost.exe服务中。

PaperCut漏洞发展的时间线

关于PaperCut打印管理软件的情况已经被认识了一段时间，PaperCut在3月初发布了针对两个漏洞的补丁。而在4月19日，PaperCut确认这两个漏洞在外部被积极利用，并建议安全团队将服务器升级至最新版本。这些漏洞已在PaperCutMF和PaperCut NG的20.1.7、21.2.11及22.0.9及后续版本中得到修复。

但在4月24日，Horizon3.ai发布了一篇博客，详细介绍了该关键漏洞的技术信息及概念验机（PoC）利用代码，攻击者可以利用该漏洞绕过身份验证并在未修补的PaperCut服务器上执行代码。

该关键漏洞 — CVE-2023-27350 — 可能导致远程代码执行，其严重性评级为9.8。另一个高危漏洞 —
CVE-2023-27351 — 使得远程攻击者能够在受影响的PaperCut产品安装上绕过身份验证。零日计划对此漏洞的严重性评级为8.2。

虽然微软将此次攻击归因于Lace Tempest添加了一些新的复杂性，但Horizon3.ai的首席攻击工程师ZachHanley指出，威胁组织对于这一问题的利用时间线更加引人关注。Hanley表示，PaperCut和零日计划在3月中旬发布了漏洞描述，而到了4月中旬，威胁组织已经开发出有效的利用代码，并对所有暴露于互联网的服务器开展大规模勒索活动——这些都是在公开的利用代码可用之前发生的。

“这可能表明威胁组织正在积极监控像零日计划这样的漏洞威胁情报来源，它们在补丁发布之前列出了受影响的供应商和官方CVE，”Hanley说。“当一个漏洞影响到足够多的互联网连接设备时，威胁组织似乎会投资于针对性的漏洞研究，以便为勒索活动打下基础。随着威胁组织变得愈加高效，这种持续的威胁情报循环将在组织的安全模型中扮演越来越重要的角色。”

Fenix24的共同创始人HeathRenfrow补充说，Clop作为一个非常活跃、有组织的勒索服务（RaaS）运营，与其他犯罪团伙有联系，而其附属团体最近通过利用未修补的漏洞频频上新闻，例如最近的Go