Microsoft mengatakan peretas yang didukung negara Iran telah bergabung dalam serangan berkelanjutan yang menargetkan server manajemen cetak PaperCut MF/NG yang rentan.
Grup-grup ini dilacak sebagai Mango Sandstorm (alias Mercury atau Muddywater dan terkait dengan Kementerian Intelijen dan Keamanan Iran) dan Badai Pasir Mint (juga dikenal sebagai Fosfor atau APT35 dan terikat pada Korps Pengawal Revolusi Islam Iran).
“Aktivitas eksploitasi PaperCut oleh Mint Sandstorm tampak oportunistik, memengaruhi organisasi lintas sektor dan geografi,” tim Intelijen Ancaman Microsoft dikatakan.
“Aktivitas eksploitasi CVE-2023-27350 yang diamati oleh Mango Sandstorm tetap rendah, dengan operator menggunakan alat dari intrusi sebelumnya untuk terhubung ke infrastruktur C2 mereka.”
Mereka mengikuti serangan terkait dengan Lace Tempest oleh Microsoft, grup peretasan yang aktivitas jahatnya tumpang tindih dengan geng kejahatan dunia maya FIN11 dan TA505 yang terhubung ke operasi ransomware Clop.
Redmond juga menemukan bahwa beberapa intrusi menyebabkan serangan ransomware LockBit tetapi tidak dapat memberikan informasi lebih lanjut ketika diminta untuk membagikan detail tambahan.
CISA menambahkan bug ini ke katalog kerentanan yang dieksploitasi secara aktif pada 21 April, memerintahkan agen federal untuk mengamankan server PaperCut mereka dalam waktu tiga minggu sebelum 12 Mei 2023.
Semakin banyak aktor yang mengeksploitasi CVE-2023-27350 yang belum ditambal dalam perangkat lunak manajemen cetak Papercut sejak terakhir kali kami melaporkan di Lace Tempest. Microsoft sekarang telah mengamati aktor ancaman yang disponsori negara Iran Mint Sandstorm (PHOSPHORUS) & Mango Sandstorm (MERCURY) mengeksploitasi CVE-2023-27350.
— Intelijen Ancaman Microsoft (@MsftSecIntel) 5 Mei 2023
Kerentanan PaperCut dieksploitasi dalam serangan ini dan dilacak sebagai CVE-2023-27350 adalah bug eksekusi kode jarak jauh kritis pra-otentikasi di PaperCut MF atau NG versi 8.0 atau lebih baru.
Perusahaan besar, organisasi negara, dan lembaga pendidikan di seluruh dunia menggunakan perangkat lunak manajemen pencetakan perusahaan ini, dengan pengembang PaperCut mengklaim lebih dari 100 juta pengguna dari lebih dari 70.000 perusahaan.
Peneliti keamanan dirilis Eksploitasi PoC untuk bug RCE segera setelah pengungkapan awal pada Maret 2023, dengan peringatan Microsoft beberapa hari kemudian bahwa kerentanan digunakan untuk akses awal ke jaringan perusahaan oleh geng ransomware Clop dan LockBit.
Sementara beberapa perusahaan keamanan siber telah merilis indikator aturan kompromi dan deteksi untuk eksploitasi PaperCut, VulnCheck membagikan detailnya pada metode serangan baru minggu lalu yang dapat melewati deteksi yang ada, memungkinkan penyerang untuk terus mengeksploitasi CVE-2023-27350 tanpa halangan.
“Deteksi yang berfokus pada satu metode eksekusi kode tertentu, atau yang berfokus pada subset kecil teknik yang digunakan oleh satu pelaku ancaman akan menjadi sia-sia dalam serangan putaran berikutnya,” kata peneliti kerentanan VulnCheck, Jacob Baines.
“Penyerang belajar dari deteksi publik para pembela HAM, jadi para pembela HAM bertanggung jawab untuk menghasilkan deteksi kuat yang tidak mudah dilewati.”
Pembela didorong untuk segera tingkatkan perangkat lunak PaperCut MF dan PaperCut NG mereka ke versi 20.1.7, 21.2.11, dan 22.0.9 dan yang lebih baru, yang mengatasi bug RCE ini dan menghapus vektor serangan.
