微软已经确认,对PaperCut 服务器的积极利用与旨在提供 Cl0p 和 LockBit 勒索软件系列的攻击有关。
这家科技巨头的威胁情报团队将一部分入侵归因于它追踪的一个名为Lace Tempest(前身为 DEV-0950)的出于经济动机的攻击者,该攻击者与 FIN11、TA505 和 Evil Corp 等其他黑客组织重叠。
“在观察到的攻击中,Lace Tempest 运行了多个 PowerShell 命令来传递一个 TrueBot DLL,该 DLL 连接到 C2 服务器,试图窃取 LSASS 凭证,并将 TrueBot 有效负载注入conhost.exe 服务,”微软在一系列推文中表示.
攻击的下一阶段需要部署 Cobalt Strike Beacon 植入物来进行侦察,使用 WMI 在网络中横向移动,并通过文件共享服务 MegaSync 泄露感兴趣的文件。
Lace Tempest 是一个 Cl0p 勒索软件分支机构,据说之前利用了Fortra GoAnywhere MFT 漏洞以及通过Raspberry Robin感染获得的初始访问权限(归因于另一个名为 DEV-0856 的攻击者)。
Raspberry Robin,也称为 QNAP 蠕虫,被认为是一种访问即服务恶意软件,用作 IcedID、Cl0p 和 LockBit 等下一阶段有效载荷的传送工具。众所周知,它结合了各种混淆、反调试和反虚拟机措施来逃避检测。
微软表示,威胁者早在 4 月 13 日就将 PaperCut 漏洞(2023-27350 和 CVE-2023-27351)纳入了其攻击工具包,证实了这家总部位于墨尔本的打印管理软件提供商的早期评估。
成功利用这两个安全漏洞可能允许未经身份验证的远程攻击者实现任意代码执行并获得对敏感信息的未授权访问。
Redmond 进一步补充说,还检测到一个单独的集群活动利用相同的漏洞,包括导致LockBit 勒索软件感染的漏洞。
FIN7 利用 Veeam 漏洞 CVE-2023-27532
随着FIN7被监视的俄罗斯网络犯罪集团与利用未修补的 Veeam 备份软件实例分发 POWERTRASH 的攻击联系在一起,POWERTRASH 是一种基于 PowerShell 的主要内存投放程序,可执行嵌入式有效载荷。
WithSecure 于 2023 年 3 月 28 日检测到的活动可能涉及对CVE-2023-27532的滥用,这是 Veeam Backup & Replication 中的一个高危漏洞,允许未经身份验证的攻击者获取存储在配置数据库中的加密凭据并获得访问权限到基础设施主机。它是上个月修补的。
“威胁行为者使用一系列命令和自定义脚本从受感染的机器上收集主机和网络信息,”这家芬兰网络安全公司表示。“此外,还执行了一系列 SQL 命令以从 Veeam 备份数据库中窃取信息。”
攻击中还使用了自定义 PowerShell 脚本,用于从备份服务器检索存储的凭据、收集系统信息,并通过在设备每次启动时执行 DICELOADER(又名 Lizar 或 Tirion)在受感染主机中建立活动立足点。
迄今为止未记录的持久性脚本的代号为 POWERHOLD,DICELOADER 恶意软件使用另一个称为 DUBLOADER 的独特加载程序解码和执行。
安全研究人员 Neeraj Singh 和 Mohammad Kazem Hassan Nejad 表示:“在撰写本文时,这些攻击的目标尚不清楚,因为它们在完全实现之前已得到缓解,”并补充说,这些发现表明该组织不断发展的交易技巧和作案手法。
POWERHOLD 和 DUBLOADER 远非 FIN7 添加到其攻击库中的唯一新恶意软件。IBM Security X-Force 最近揭示了一个名为Domino的加载程序和后门,旨在促进后续利用。
Mirai 僵尸网络利用 TP-Link Archer WiFi 路由器漏洞
在相关的发展中,零日倡议 (ZDI) 透露Mirai 僵尸网络作者已更新他们的恶意软件以包含 CVE-2023-1389,这是 TP-Link Archer AX21 路由器中的一个高严重性缺陷,可能允许未经身份验证的对手执行受影响的安装上的任意代码。
CVE-2023-1389(CVSS 得分:8.8)在 2022 年 12 月于多伦多举行的 Pwn2Own 黑客竞赛中由 Team Viettel 的研究人员展示,促使供应商于 2023 年 3 月发布修复程序。
根据 ZDI,野外利用的最初迹象出现在 2023 年 4 月 11 日,威胁参与者利用该漏洞向 Mirai 命令和控制 (C2) 服务器发出 HTTP 请求以下载和执行有效负载负责将设备拉入僵尸网络并对游戏服务器发起DDoS攻击 。
ZDI 威胁研究员 Peter Girnus表示:“这对于 Mirai 僵尸网络的维护者来说并不是什么新鲜事,他们以快速利用物联网设备来维持其在企业中的立足点而闻名。” “应用此补丁是解决此漏洞的唯一推荐操作。”
