勒索软件 Clop 和 LockBit 攻击 PaperCut 服务器

　　PaperCut 应用服务器在上个月进行了更新，存在两个主要漏洞，该漏洞可能会允许远程攻击者执行未经认证的代码和访问敏感信息。

　　CVE-2023-27350 / ZDI-CAN-18987 / PO-121: 该漏洞会影响到所有操作系统平台上的 PaperCut MF/NG 8.0 甚至是更高的版本，以及其他的应用服务器。它同时还会影响应用服务器和网站服务器。

　　CVE-2023-27351 / ZDI-CAN-19226 / PO-1219: PaperCut MF 或 NG 15.0 或更高版本中的一个漏洞存在于每个应用服务器平台上，可能会导致未经认证的信息泄露。

　　上周接到通知，趋势科技发现攻击者已在野利用了该漏洞，PaperCut 向用户发出了警报。客户服务器必须尽快更新以确保数据的安全。

　　微软威胁情报部门在一条推文内写道，微软将最近报告的利用打印管理软件 PaperCut 中的 CVE-2023-27350 和 CVE-2023-27351 漏洞并使用 Clop 勒索软件发起的攻击归咎于 Lace Tempest（与 FIN11 和 TA505 重叠）威胁行为者。

　　上周，微软威胁情报局根据最近的一份关于 BR11 和 TA505 的报告，确定了 "Lace Tempest " 是利用这些漏洞的威胁行为者之一。

　　FIN11 是一个参与开发 Accellion FTA 勒索活动的组织，与臭名昭著的 Clop 勒索软件团伙有关。据报道，Dridex 是另一个与 TA505 有关的恶意软件。

　　Fortra 的文件共享软件 GoAnywhere 以前曾被与 Clop 勒索软件组织有关的加密勒索软件活动所利用。该组织还利用在网络安全界广泛传播的蠕虫病毒，对系统进行破坏。

　　PaperCut NG 和 PaperCut MF 存在影响服务器安全的漏洞。未认证的攻击者可以利用 CVE-2023-27350 对 PaperCut 应用服务器进行远程代码执行攻击，而对 PaperCut MF 或 NG 的远程代码执行攻击还可能使未认证的攻击者窃取存储在 PaperCut MF 或 NG 中的用户信息，如用户的姓名、全名、电子邮件地址、部门信息和信用卡号码。

　　除了访问从 PaperCut 内部账户检索出的哈希密码外，攻击者利用这一漏洞还可以从外部目录源检索密码，如 Microsoft 365 和 Google Workspace（尽管他们无法直接从 Microsoft 365 和 Google Workspace 等外部目录源访问检索出密码）。

　　此前有报告显示，Lace Tempest，也被称为 DEV-0950，是 Clop 的一个分支机构。Lace Tempest 已被检测到使用 GoAnywhere 漏洞和 Raspberry Robin 等恶意软件作为勒索软件攻击活动的一部分。由于此软件存在漏洞，PaperCut 自 4 月 13 日起开始成为攻击目标。

　　Clop 已经开始针对该目标进行攻击

　　看来，对 PaperCut 服务器的利用非常符合我们在过去三年中观察到的关于 Clop 勒索软件团伙的攻击模式。

　　尽管 Clop 攻击活动会继续加密文件，使得更多的主机被攻击，但根据海外的媒体报告说，该攻击行动更倾向于从受害者那里窃取大量的敏感数据。这样就可以向他们勒索赎金。

　　2020 年，Clop 利用了 Accellion 的一个零日漏洞，即 Accellion FTA，他们窃取了大约 100 家公司的数据。

　　GoAnywhere MFT 安全文件共享平台的一个零日漏洞最近也曾经被 Clop 团伙所利用，他们使用该零日漏洞，从 130 家公司窃取了大量的敏感数据。