Microsoft ha confermato che l’attività di sfruttamento attivo dei server PaperCut è collegata agli attacchi progettati per distribuire le famiglie di ransomware Cl0p e LockBit. Il team di intelligence del gigante della tecnologia ha attribuito un sottoinsieme delle intrusioni a un attore motivato finanziariamente che traccia sotto il nome di Lace Tempest (precedentemente DEV-0950). Questo attore è stato osservato eseguire più comandi PowerShell per distribuire un DLL TrueBot, che si è connesso a un server C2, ha tentato di rubare le credenziali LSASS e ha iniettato il payload TrueBot nel servizio conhost.exe. L’implant Cobalt Strike Beacon è stato quindi distribuito per condurre ricognizioni, muoversi lateralmente sulla rete utilizzando WMI e esfiltrare file di interesse tramite il servizio di condivisione file MegaSync. Lace Tempest è anche noto per aver sfruttato gli exploit Fortra GoAnywhere MFT e l’accesso iniziale ottenuto tramite infezioni Raspberry Robin. Microsoft ha confermato che l’attore minaccia aveva assorbito le vulnerabilità di PaperCut (2023-27350 e CVE-2023-27351) nel suo set di strumenti di attacco già il 13 aprile. Inoltre, è stato rilevato un cluster separato di attività che sta utilizzando le stesse vulnerabilità, tra cui quelle che portano a infezioni da ransomware LockBit. Il gruppo di criminalità informatica russo FIN7 è stato collegato agli attacchi che sfruttano istanze non aggiornate del software di backup Veeam per distribuire POWERTRASH e gli autori del botnet Mirai hanno aggiornato il loro malware per includere CVE-2023-1389, una vulnerabilità di alto livello nei router TP-Link Archer AX21. Tali minacce sono state mitigate prima di materializzarsi completamente e l’unica azione consigliata per affrontare questa vulnerabilità è applicare la patch.
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.
Source: Hackernews