Microsoft ha confirmado que la explotación activa de servidores PaperCut está vinculada a ataques diseñados para entregar familias de ransomware Cl0p y LockBit. El equipo de inteligencia de amenazas de la gran empresa tecnológica atribuyó un subconjunto de intrusiones a un actor motivado financieramente que rastrea bajo el nombre de Lace Tempest (anteriormente DEV-0950). Se ha observado que este actor ha ejecutado varios comandos de PowerShell para entregar una DLL TrueBot, que se conectó a un servidor C2, intentó robar credenciales LSASS y injectó el payload TrueBot en el servicio conhost.exe. El implante de señal de Cobalt Strike se desplegó entonces para realizar reconocimiento, moverse lateralmente a través de la red utilizando WMI y exfiltrar archivos de interés a través del servicio de compartición de archivos MegaSync. También se sabe que Lace Tempest ha aprovechado los exploits Fortra GoAnywhere MFT y el acceso inicial obtenido a través de infecciones Raspberry Robin. Microsoft confirmó que el actor de amenazas había asumido los fallos de PaperCut (2023-27350 y CVE-2023-27351) en su kit de herramientas de ataque a partir del 13 de abril. Además, se ha detectado un cluster separado de actividades que está armando los mismos fallos, incluidos los que conducen a infecciones de ransomware LockBit. El grupo de ciberdelincuencia ruso FIN7 también se ha conectado a los ataques que explotan instancias de software de copia de seguridad Veeam sin parchear para distribuir POWERTRASH y los autores del botnet Mirai han actualizado su malware para incluir CVE-2023-1389, un fallo de alto nivel en los routers TP-Link Archer AX21. Estas amenazas se han mitigado antes de materializarse por completo y la única acción recomendada para abordar esta vulnerabilidad es aplicar el parche.
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.
Source: Hackernews