Российских хакеров подозревают в активной эксплуатации неисправленных серверов PaperCut
NewsMakerДесятки тысяч организаций в опасности из-за очередной уязвимости в популярном программном обеспечении.
PaperCut, поставщик ПО для управления печатью, заявил 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе ( ITW ), сославшись на отчёты об уязвимостях от компании Trend Micro .
Выявленные уязвимости включают в себя:
Специлисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut, заявили , что наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM -ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Silence . Она же, в свою очередь, имеет исторические связи с Evil Corp и её кластером TA505 , который в прошлом способствовал распространению программы-вымогателя Cl0p .
«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.
«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.
PaperCut, поставщик ПО для управления печатью, заявил 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе ( ITW ), сославшись на отчёты об уязвимостях от компании Trend Micro .
Выявленные уязвимости включают в себя:
- ZDI-CAN-18987 / PO-1216: ошибка при удаленном выполнении кода без проверки подлинности, влияющая на PaperCut MF или NG версии 8.0 или более ранней на всех платформах, как для серверов приложений, так и для сайтов. (Оценка CVSS v3.1: 9,8 – критическая);
- ZDI-CAN-19226 / PO-1219: ошибка в раскрытии информации неавторизованному злоумышленнику, влияющая на PaperCut MF или NG версии 15.0 или более ранней на всех платформах для серверов приложений. (Оценка CVSS v3.1: 8.2 – высокий).
Специлисты Huntress , которые ранее обнаружили около 1800 общедоступных серверов PaperCut, заявили , что наблюдали PowerShell-команды, порождаемые программным обеспечением PaperCut для установки RMM -ПО, такого как Atera и Syncro, чтобы обеспечить постоянство доступа и выполнения вредоносного кода на заражённых хостах.
Дополнительный анализ инфраструктуры показал, что домен, на котором размещаются инструменты, «windowservicecemter.com», был зарегистрирован 12 апреля этого года. Он содержит вредоносное ПО TrueBot, хотя специалисты Huntress сообщили, что не обнаружили непосредственного развертывания загрузчика.
Обычно исследователи кибербезопасности приписывают вредонос TrueBot предположительно российской киберпреступной организации, известной как Silence . Она же, в свою очередь, имеет исторические связи с Evil Corp и её кластером TA505 , который в прошлом способствовал распространению программы-вымогателя Cl0p .
«Хотя конечная цель текущей вредоносной активности с использованием программного обеспечения PaperCut неизвестна, эти связи с известной вымогательской группировкой, хоть и несколько косвенные, вызывают беспокойство», — заявили в Huntress.
«Потенциально, доступ, полученный в результате эксплуатации PaperCut, может быть использован в качестве плацдарма, ведущего к последующему перемещению в сети жертвы и, в конечном итоге, к развертыванию вымогательского ПО», — добавили исследователи.
Всем клиентам PaperCut рекомендуется как можно скорее перейти на исправленные версии PaperCut MF и NG (20.1.7, 21.2.11 и 22.0.9), независимо от того, доступен ли сервер для внешних или внутренних подключений, чтобы уменьшить любые потенциальные риски. А тем, кто не может обновиться, рекомендуется ограничить входящий сетевой доступ к серверам путём внедрения белого списка IP-адресов.