Microsoft đã xác nhận rằng việc khai thác trực tiếp các máy chủ PaperCut liên quan đến các cuộc tấn công nhằm mục đích phân phối các gia đình ransomware Cl0p và LockBit. Đội ngũ tình báo đe dọa của công ty công nghệ lớn đã gán một phần của những xâm nhập này cho một diễn viên có động cơ tài chính được theo dõi dưới tên Lace Tempest (trước đây là DEV-0950). Diễn viên này đã được quan sát thực hiện nhiều lệnh PowerShell để cung cấp DLL TrueBot, kết nối với máy chủ C2, cố gắng đánh cắp thông tin xác thực LSASS và tiêm tải trọng TrueBot vào dịch vụ conhost.exe. Sau đó, một thiết bị cấy Cobalt Strike đã được triển khai để thực hiện trinh sát, di chuyển ngang qua mạng bằng WMI và trích xuất các tệp quan trọng qua dịch vụ chia sẻ tệp MegaSync. Lace Tempest cũng đã tận dụng các lỗ hổng Fortra GoAnywhere MFT và quyền truy cập ban đầu được lấy thông qua các nhiễm trùng Raspberry Robin. Microsoft xác nhận rằng diễn viên đe dọa đã bao gồm các lỗi PaperCut (2023-27350 và CVE-2023-27351) vào bộ công cụ tấn công của họ từ ngày 13 tháng 4. Ngoài ra, một cụm hoạt động riêng biệt đã được phát hiện đang lợi dụng cùng các lỗi đó, bao gồm cả những lỗi dẫn đến nhiễm ransomware LockBit. Nhóm tội phạm mạng Nga FIN7 cũng đã liên quan đến các cuộc tấn công khai thác các phiên bản phần mềm sao lưu Veeam chưa được vá để phân phối POWERTRASH, và các tác giả của botnet Mirai đã cập nhật phần mềm độc hại của họ để bao gồm CVE-2023-1389, một lỗi nghiêm trọng trên router TP-Link Archer AX21. Những mối đe dọa này đã được giảm thiểu trước khi chúng hoàn toàn hình thành, và hành động được khuyến nghị duy nhất để giải quyết lỗ hổng này là áp dụng bản vá.
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.
Source: Hackernews