微软报告两个伊朗黑客组织利用PaperCut漏洞

PaperCut漏洞是广泛使用的打印管理软件中的一个缺陷,允许未经身份验证的行为者执行任意代码,获得SYSTEM权限,并获取存储在公司服务器中的敏感个人信息。

微软的威胁情报小组报告说,两个伊朗国家支持的黑客组织正在积极利用广泛使用的打印管理软件PaperCut中发现的一个漏洞。世界各地的政府机构、教育机构和大型组织都是PaperCut的主要用户。

据观察,两个著名的伊朗黑客组织正在利用此漏洞。Mango Sandstorm隶属于该国情报和安全部(MOIS)。另一个组织 Mint Sandstorm与伊斯兰革命卫队(IRGC)有联系。微软声称,这种剥削活动似乎是“投机取巧”,并影响了不同行业和地区的组织。

根据微软的报告,Mango Sandstorm(Mercury)和Mint Sandstorm(Phosphorus)正在利用PaperCut漏洞(跟踪为CVE-2023-27350,CVSS评分为9.8)在其攻击中进行初始访问。

这表明Mint Sandstorm正在不断努力将PoC漏洞利用纳入其运营中,而Mango Sandstorm的漏洞利用活动相当低。这些参与者的目标是使用未打补丁版本的打印软件的公司。

“我们有证据表明未打补丁的服务器正在被野外利用,”微软指出。

周五,微软表示,他们称为Mint Sandstorm和Mango Sandstorm的两个民族国家攻击者一直在攻击运行未打补丁版本的PaperCut软件的公司,该软件被世界各地的政府机构、大学和大公司广泛使用。

Trend Micro Zero Day Initiative(ZDI)于3月8日披露了该漏洞。该公司发布了其公告的紧急更新,敦促运行PaperCut的组织安装补丁。自此公告发布以来,许多勒索软件组织开始利用它,包括LockBit和Clop。

在微软报告了Lace Tempest网络犯罪组织滥用此漏洞分发LockBit和Cl0p勒索软件的活动之后,攻击狂潮就发生了。该缺陷是在PaperCut NG和MF安装中发现的。趋势科技表示将在5月10日发布有关该漏洞的更多详细信息。

未经身份验证的攻击者可以轻松利用该漏洞执行任意代码,因为他们将获得SYSTEM权限。黑客可以远程访问受害者的系统并获取敏感的个人信息,包括用户名、全名、与帐户关联的支付卡号以及电子邮件ID,这些信息通常存储在公司服务器中。

CISA(网络安全和基础设施安全局)上个月将其添加到其被利用的漏洞列表中,并已将2023年5月12日作为联邦民用机构安装补丁的最后期限。

发表评论

评论已关闭。

相关文章