Iranian hacker

Microsoft によると、脆弱な PaperCut MF/NG 印刷管理サーバーを標的とする現在進行中の攻撃に、イラン政府が支援するハッカーが参加したとのことです。

これらのグループは、Mango Sandstorm (Mercury または Muddywater とも呼ばれ、イランの情報セキュリティ省にリンクされています) および Mint Sandstorm (Phosphorus または APT35 としても知られ、イランのイスラム革命防衛隊に関連付けられています) として追跡されています。

Microsoft Threat Intelligence チームは、「Mint Sandstorm による PaperCut のエクスプロイト活動は日和見的であり、さまざまなセクターや地域の組織に影響を与えているようです」と述べています

「Mango Sandstorm による CVE-2023-27350 のエクスプロイト アクティビティが観測されており、オペレーターは以前の侵入からのツールを使用して C2 インフラストラクチャに接続しています。」

彼らは、悪意のある活動が Clop ランサムウェア操作に関連する FIN11 および TA505 サイバー犯罪ギャングと重複するハッキング グループである Microsoft による、 Lace Tempest に関連する攻撃を追跡します。

レドモンドはまた、いくつかの侵入が LockBit ランサムウェア攻撃につながったことを発見しましたが、追加の詳細を共有するように求められたときに、それ以上の情報を提供できませんでした.

CISA は 4 月 21 日に、積極的に悪用されている脆弱性のカタログにこのバグを追加し2023 年 5 月 12 日までに3 週間以内に PaperCut サーバーを保護するよう連邦機関に命じました。

これらの攻撃で悪用され、 CVE-2023-27350として追跡されている PaperCut の脆弱性は、PaperCut MF または NG バージョン 8.0 以降の認証前の重大なリモート コード実行バグです。

世界中の大企業、国家機関、および教育機関がこのエンタープライズ印刷管理ソフトウェアを使用しており、PaperCut の開発者は、70,000 を超える企業から 1 億人を超えるユーザーがいると主張しています。

セキュリティ研究者は、2023 年 3 月に最初に公開された直後に RCE バグのPoC エクスプロイトをリリースし、Microsoft は数日後に、この脆弱性がClop および LockBit ランサムウェア ギャングによる企業ネットワークへの初期アクセスに使用されていたと警告しました。

複数のサイバーセキュリティ企業が侵害の兆候と PaperCut エクスプロイトの検出ルールをリリースしましたが、VulnCheck は先週、既存の検出を回避できる新しい攻撃方法の詳細を共有し、攻撃者が CVE-2023-27350 を妨げられずに悪用し続けることを可能にしました。

VulnCheck の脆弱性研究者である Jacob Baines 氏は、「1 つの特定のコード実行方法に焦点を当てた検出、または 1 人の脅威アクターが使用する手法の小さなサブセットに焦点を当てた検出は、次のラウンドの攻撃では役に立たない運命にあります」と述べています。

「攻撃者は防御側の公開された検出から学習するため、防御側は、簡単にバイパスされない堅牢な検出を生成する責任があります。」

防御者は、PaperCut MF および PaperCut NG ソフトウェアをバージョン 20.1.7、21.2.11、および 22.0.9 以降にすぐにアップグレードすることをお勧めします。これにより、この RCE バグが解決され、攻撃ベクトルが削除されます。