Microsoft：駭客利用PaperCut漏洞　植入勒索軟體

編譯／鄭智懷

Microsoft旗下資安團隊威脅情報（Threat Intelligence）在本周稍早於推特（Twitter）發布一系列推文，聲稱近期引發全球各界關注的PaperCut漏洞已遭勒索軟體集團Clop旗下的子組織Lace Tempest駭客利用，用於散播與集團同名的勒索軟體。

據悉，PaperCut漏洞事件涉及兩個名為CVE-2023-27350和CVE-2023-27351之安全漏洞，前者可讓駭客無須與受害者接觸就能入侵設備並遠端執行包含惡意程式在內的程式碼：後者則允許攻擊者竊取受害者個資。據統計，全球共有約1,800台PaperCut伺服器存在高度風險，可供駭客用於攻擊PaperCut之客戶。

威脅情報表示，自4月13日起，Lace Tempest就開始利用CVE-2023-27350 和 CVE-2023-27351散布勒索軟體Clop。值得一提的是，Clop在2023年利用GoAnywhere軟體的RCE漏洞，駭入全球逾百家企業並竊取其資料的攻擊行動中，Lace Tempest也是其中一員。

分析指出，一旦駭客藉由上述PaperCut漏洞取得到列印管理伺服器的存取權限，即開始進一步植入惡意程式TrueBot，並透過滲透測試工具Cobalt Strike執行行橫向感染，擴大對受害者設備的掌控程度與範圍。最後駭客會使用檔案共用服務MegaSync盜取資料，或是植入包含Cl0p與LockBit在內的勒索軟體。

據網路媒體《Cybernews》報導，由於駭客利用PaperCut產品漏洞執行攻擊的手法相當新穎，大多數被入侵的組織根本不知已經成為Clop攻擊行動的受害者。

相關研究指出，勒索軟體集團Clop在2019年問世以來，迅速崛起並名列全球前三大多產的勒索軟體家族。統計資料顯示，該勒索軟體集團僅僅在2021年就造成全球逾5億美元（折合新台幣約153億元）的損失。

資料來源：Microsoft Threat Intelligence、Cybernews

瀏覽 2,770 次