Microsoft mengaitkan serangan baru-baru ini pada server PaperCut dengan operasi ransomware Clop dan LockBit, yang menggunakan kerentanan untuk mencuri data perusahaan.
Bulan lalu, dua kerentanan telah diperbaiki di Server Aplikasi PaperCut yang memungkinkan penyerang jarak jauh untuk melakukan eksekusi kode jarak jauh yang tidak diautentikasi dan pengungkapan informasi:
- CVE-2023–27350 / ZDI-CAN-18987 / PO-1216: Cacat eksekusi kode jarak jauh yang tidak diautentikasi memengaruhi semua PaperCut MF atau NG versi 8.0 atau lebih baru di semua platform OS, baik untuk aplikasi maupun server situs. (Skor CVSS v3.1: 9,8 – kritis)
- CVE-2023–27351 / ZDI-CAN-19226 / PO-1219: Cacat pengungkapan informasi yang tidak diautentikasi berdampak pada semua PaperCut MF atau NG versi 15.0 atau lebih baru di semua platform OS untuk server aplikasi. (Skor CVSS v3.1: 8.2 – tinggi)
Pada 19 April, PaperCut mengungkapkan hal tersebut kelemahan secara aktif dieksploitasi di alam liarmendesak admin untuk tingkatkan server mereka ke versi terbaru.
A Eksploitasi PoC untuk cacat RCE dirilis beberapa hari kemudian, memungkinkan pelaku ancaman lebih lanjut untuk menembus server menggunakan eksploit ini.
Geng ransomware di balik serangan
Hari ini, Microsoft mengungkapkan bahwa geng ransomware Clop dan LockBit berada di balik serangan PaperCut ini dan menggunakannya untuk mencuri data perusahaan dari server yang rentan.
PaperCut adalah perangkat lunak manajemen pencetakan yang kompatibel dengan semua merek dan platform printer utama. Ini digunakan oleh perusahaan besar, organisasi negara, dan lembaga pendidikan, dengan situs web perusahaan mengklaim digunakan oleh ratusan juta orang dari lebih dari 100 negara.
Dalam serangkaian tweet yang diposting Rabu sore, Microsoft menyatakan bahwa serangan PaperCut baru-baru ini dikaitkan dengan geng ransomware Clop.
“Microsoft mengaitkan serangan yang baru-baru ini dilaporkan mengeksploitasi kerentanan CVE-2023-27350 dan CVE-2023-27351 dalam perangkat lunak manajemen cetak PaperCut untuk mengirimkan ransomware Clop ke aktor ancaman yang dilacak sebagai Lace Tempest (tumpang tindih dengan FIN11 dan TA505),” tweeted Peneliti Intelijen Ancaman Microsoft.
Microsoft melacak aktor ancaman khusus ini sebagai ‘Lace Tempest,’ yang aktivitasnya tumpang tindih dengan FIN11 dan TA505, keduanya terkait dengan operasi ransomware Clop.
Microsoft mengatakan bahwa aktor ancaman telah mengeksploitasi kerentanan PaperCut sejak 13 April untuk akses awal ke jaringan perusahaan.
Begitu mereka mendapatkan akses ke server, mereka menyebarkan malware TrueBot, yang juga pernah ada sebelumnya terkait dengan operasi ransomware Clop.
Pada akhirnya, Microsoft mengatakan suar Cobalt Strike dikerahkan dan digunakan untuk menyebar secara lateral melalui jaringan sambil mencuri data menggunakan aplikasi berbagi file MegaSync.
Selain Clop, Microsoft mengatakan beberapa intrusi telah menyebabkan serangan ransomware LockBit. Namun, tidak jelas apakah serangan ini dimulai setelah eksploit dirilis ke publik.
Microsoft menyarankan admin untuk menerapkan tambalan yang tersedia sesegera mungkin karena pelaku ancaman lain kemungkinan akan mulai mengeksploitasi kerentanan.
Target utama untuk Clop
Eksploitasi server PaperCut sesuai dengan pola umum yang telah kita lihat dengan geng ransomware Clop selama tiga tahun terakhir.
Sementara operasi Clop masih mengenkripsi file dalam serangan, mereka telah memberi tahu BleepingComputer bahwa mereka lebih suka mencuri data untuk memeras perusahaan agar membayar uang tebusan.
Pergeseran taktik ini pertama kali terlihat pada tahun 2020 saat Clop mengeksploitasi kerentanan zero-day Accellion FTA untuk mencuri data dari sekitar 100 perusahaan.
Geng Clop baru-baru ini dimanfaatkan kerentanan zero-day di MFT GoAnywhere platform berbagi file yang aman untuk mencuri data dari 130 perusahaan.
PaperCut menyertakan ‘Pengarsipan Cetak‘ fitur yang menyimpan semua pekerjaan cetak dan dokumen yang dikirim melalui server, menjadikannya kandidat yang baik untuk serangan eksfiltrasi data dari operasi.
Semua organisasi yang menggunakan PaperCut MF atau NG sangat disarankan untuk memutakhirkan ke versi 20.1.7, 21.2.11, dan 22.0.9 segera dan setelahnya untuk memperbaiki kerentanan ini.
BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang serangan ini dan akan memperbarui artikel jika kami menerima tanggapan.
