Microsoft ha confirmat que l’explotació activa dels servidors PaperCut està vinculada a atacs dissenyats per lliurar les famílies de ransomware Cl0p i LockBit. L’equip de intel·ligència de amenaces de la gran tecnològica ha atribuït un subconjunt de les intrusions a un actor motivat financer que segueix sota el nom de Lace Tempest (anteriorment DEV-0950). S’ha observat que aquest actor executa diversos comandos PowerShell per lliurar una DLL TrueBot, que es connecta a un servidor C2, intenta robar les credencials LSASS i injecta la càrrega TrueBot al servei conhost.exe. Després s’instal·la un implant de Cobalt Strike Beacon per dur a terme reconeixement, moure-se lateralment per la xarxa mitjançant WMI i exfiltrar els fitxers d’interès a través del servei de compartició de fitxers MegaSync. També s’ha constatat que Lace Tempest ha aprofitat els exploits de Fortra GoAnywhere MFT i l’accés inicial obtingut mitjançant infeccions de Raspberry Robin. Microsoft va confirmar que l’actor de la amenaza havia incorporat les vulnerabilitats de PaperCut (2023-27350 i CVE-2023-27351) a la seva caixa d’eines d’atac a partir del 13 d’abril. A més, s’ha detectat un altre cluster d’activitat que armaritza les mateixes vulnerabilitats, incloses les que porten a les infeccions de ransomware LockBit. S’ha connectat el grup rus de cibercriminalitat FIN7 amb atacs que exploten instàncies no parcheades de programari de còpia de seguretat Veeam per distribuir POWERTRASH i els autors del botnet Mirai han actualitzat el seu malware per incloure CVE-2023-1389, una vulnerabilitat de gran severitat en els routers TP-Link Archer AX21. Aquestes amenaces s’han mitigat abans de materialitzar-se completament i l’única acció recomanada per abordar aquesta vulnerabilitat és aplicar el parche.
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.
Source: Hackernews