Microsoft: Cl0p Ransomware Exploited PaperCut Vulnerabilities Since April 13
2023/04/27 SecurityWeek — Microsoft の発表によると、FIN11 および TA505 と提携している Cl0p ランサムウェアのオペレーターが、パッチが適用されたばかりの PaperCut の脆弱性を、4月13日から悪用し始めたようだ。問題の脆弱性は、PaperCut MF/NG プリント管理システムに影響を与えるものだ。この脆弱性 CVE-2023-27350 (CVSS:9.8) の悪用に成功した攻撃者は、認証をバイパスしてシステム権限でリモート・コード実行 (RCE) を行うことが可能になる。この脆弱性は、2023年3月にリリースされたバージョン 20.1.7/21.2.11/22.0.9 で修正されているが、それと同時に、PaperCut MF/NG の情報漏えいの脆弱性 CVE-2023-27351 に対応されている。
先週に PaperCut は、CVE-2023-27350 が攻撃に悪用されていると警告し、可能な限り早急にインストールを更新するようユーザーに促している。
その数日後に、エンドポイント・レスポンス・セキュリティ企業である Huntress は、PaperCut がインストールされている、数百台の脆弱なホストを確認した。さらに、攻撃者が脆弱性を悪用して、RMM (Remote Management and Maintenance) ツールを展開し、永続的なアクセスを行っていることを観測したと発表している。
PaperCut は CVE-2023-27350 が攻撃に悪用されているとしか言及していないが、Huntress とMicrosoft は、脆弱性 CVE-2023-27351 の悪用も示唆している。
この攻撃は、TrueBot マルウェア・オペレーターの Silence と関連があると、Huntress は見ている。また、Silenceは、ランサムウェア Cl0p の配布で有名な、ロシアのハッキング・グループ TA505 と繋がりがあることが知られている。
また Microsoft は、APT (Advanced Persistent Threat) である FIN11/TA505 と関連している、Cl0p ランサムウェア・オペレーター Lace Tempest (別名 DEV-0950) が、この2週間で PaperCut 脆弱性を悪用していたと述べている。
同社は、「Lace Tempest (DEV-0950) は、Cl0p ランサムウェアの系列であり、過去のランサムウェア・キャンペーンにおいて、GoAnywhere エクスプロイトと Raspberry Robin 感染のハンドオフを使用していることが確認されている。この脅威アクターは、4月13日の時点で、PaperCut エクスプロイトを攻撃に組み込んでいた」と説明している。
Microsoft は、この脅威アクターが PowerShell コマンドを実行して、脆弱なシステムに TrueBot をドロップするという、Huntress の観測を裏付けている。また、このマルウェアは、Local Security Authority Subsystem Service (LSASS) の認証情報を盗もうとすることが確認されている。
さらに Microsoft は、「続いて Lace Tempest は、Cobalt Strike Beacon インプラントを配信し、接続されたシステムの偵察を行い、WMI を使用して横方向に移動している。この脅威アクターは、ファイル共有アプリ MegaSync を使用して関心のあるファイルを特定し、流出させた」と指摘している。
Huntress よると、侵害されたシステム上に暗号通貨マイナーを展開するなど、PaperCut の脆弱性を悪用する脅威アクターが増えてきているとのことだ。
この、PaperCut の脆弱性については、2024/04/24 の「PaperCut のパッチ未適用デバイスへの攻撃:観測された Truebot マルウェア亜種はロシア由来」でお伝えしています。この記事でも、Huntress は Clop ランサムウェアの関与を示唆していましたが、今日の記事では、Microsoft も同じ見立てをしていることが明らかになっています。 かなりの広範囲で影響が生じる脆弱性だと思われるので、ご利用の組織には、早急なパッチ適用が推奨されます。
IoT OT Security News 
You must be logged in to post a comment.