PaperCut

Microsoft は、PaperCut サーバーに対する最近の攻撃は、企業データを盗むために脆弱性を利用した Clop および LockBit ランサムウェア操作によるものであると考えています。

先月、PaperCut Application Server の 2 つの脆弱性が修正され、リモートの攻撃者が認証されていないリモート コードの実行と情報漏えいを実行できるようになりました。

  • CVE-2023–27350 / ZDI-CAN-18987 / PO-1216 : すべての OS プラットフォーム上のすべての PaperCut MF または NG バージョン 8.0 以降に影響する、認証されていないリモート コード実行の欠陥 (アプリケーション サーバーとサイト サーバーの両方)。 (CVSS v3.1 スコア: 9.8 – クリティカル)
  • CVE-2023–27351 / ZDI-CAN-19226 / PO-1219 : アプリケーション サーバーのすべての OS プラットフォームで、すべての PaperCut MF または NG バージョン 15.0 以降に影響する、認証されていない情報開示の欠陥。 (CVSS v3.1 スコア: 8.2 – 高)

4 月 19 日、PaperCut は、これらの欠陥が実際に悪用されていることを明らかにし、管理者にサーバーを最新バージョンにアップグレードするよう促しました。

RCE の脆弱性に対する PoC エクスプロイトが数日後にリリースされ、これらのエクスプロイトを使用してさらに攻撃者がサーバーに侵入できるようになりました。

攻撃の背後にあるランサムウェア ギャング

Microsoft は本日、Clop および LockBit ランサムウェア ギャングがこれらの PaperCut 攻撃の背後にあり、脆弱なサーバーから企業データを盗むためにそれらを使用していることを明らかにしました。

PaperCut は、すべての主要なプリンター ブランドおよびプラットフォームと互換性のある印刷管理ソフトウェアです。大企業、国家機関、教育機関で使用されており、同社の Web サイトによると、100 か国以上の何億人もの人々が使用しています。

水曜日の午後に投稿された一連のツイートで、Microsoft は、最近の PaperCut 攻撃は Clop ランサムウェア ギャングによるものであると述べています。

「Microsoft は、印刷管理ソフトウェア PaperCut の CVE-2023-27350 および CVE-2023-27351 の脆弱性を悪用して最近報告された攻撃が、Lace Tempest (FIN11 および TA505 と重複する) として追跡されている脅威アクターに Clop ランサムウェアを配信するものであると考えています」と Microsoft はツイートしました。脅威インテリジェンスの研究者。

Microsoft は、この特定の攻撃者を「Lace Tempest」として追跡しており、その活動は FIN11 および TA505 と重複しており、どちらも Clop ランサムウェア操作に関連しています。

Microsoft は、攻撃者が 4 月 13 日以降、企業ネットワークへの初期アクセスのために PaperCut の脆弱性を悪用していると述べています。

サーバーにアクセスできるようになると、彼らは TrueBot マルウェアを展開しました。このマルウェアは、以前にClop ランサムウェア操作にも関連付けられていました。

最終的に、Microsoft は、MegaSync ファイル共有アプリケーションを使用してデータを盗みながら、Cobalt Strike ビーコンが展開され、ネットワークを介して横方向に拡散するために使用されたと述べています。

Clop に加えて、Microsoft は、いくつかの侵入が LockBit ランサムウェア攻撃につながったと述べています。ただし、エクスプロイトが公開された後にこれらの攻撃が開始されたかどうかは不明です。

Microsoft は、他の攻撃者が脆弱性を悪用し始める可能性があるため、管理者が利用可能なパッチをできるだけ早く適用することをお勧めします。

Clopの主なターゲット

PaperCut サーバーのエクスプロイトは、過去 3 年間に Clop ランサムウェア ギャングで見られた一般的なパターンに適合します。

Clop オペレーションは依然として攻撃でファイルを暗号化しますが、データを盗んで企業に身代金を要求することを好むと彼らは語っています。

この戦術の変化は、2020 年に Clop がAccellion FTA のゼロデイ脆弱性を悪用して約 100 社のデータを盗んだときに初めて見られました。

Clop ギャングは最近、GoAnywhere MFT セキュア ファイル共有プラットフォームのゼロデイ脆弱性を利用して、 130 社のデータを盗みました

PaperCut には、サーバー経由で送信されたすべての印刷ジョブとドキュメントを保存する「印刷アーカイブ」機能が含まれているため、操作からのデータ流出攻撃の有力な候補となります。

PaperCut MF または NG を使用しているすべての組織は、これらの脆弱性を修正するために、バージョン 20.1.7、21.2.11、および 22.0.9 にすぐにアップグレードすることを強くお勧めします。

はこれらの攻撃についてさらに質問するために Microsoft に問い合わせており、回答があれば記事を更新します。