ارائهدهنده نرمافزار مدیریت چاپ، PaperCut، با استناد به دو گزارش آسیبپذیری از شرکت امنیت سایبری Trend Micro، گفت که "شواهدی وجود دارد که نشان میدهد سرورهای آسیب پذیر این برنامه در اینترنت مورد سوء استفاده قرار میگیرند."
در ادامه افزود: «PaperCut تجزیه و تحلیلی را روی تمام گزارشهای مشتریان انجام داده است و اولین امضای فعالیت مشکوک روی سرور مشتری که به طور بالقوه به این آسیبپذیری مرتبط است، 14 آوریل 01:29 AEST / 13 آوریل 15:29 UTC است.»
این به روز رسانی در حالی ارائه می شود که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک نقص مهم (CVE-2023-27350، امتیاز CVSS - 9.8) را بر اساس شواهدی مبنی بر بهره برداری فعال به فهرست آسیب پذیری های شناخته شده مورد بهره برداری (KEV) اضافه کرده است.
شرکت امنیت سایبری Huntress که حدود 1800 سرور PaperCut را پیدا کرده است، گفت که دستورات PowerShell را مشاهده کرده است که از نرم افزار PaperCut برای نصب نرم افزارهای مدیریت و نگهداری از راه دور (RMM) مانند Atera و Syncro برای دسترسی مداوم و اجرای کد بر روی میزبان های آلوده ایجاد شده است.
تجزیه و تحلیل زیرساخت اضافی نشان داده است که دامنه میزبان ابزارها - windowservicecemter[.]com - در 12 آوریل 2023 ثبت شده است و همچنین میزبان بدافزارهایی مانند TrueBot است، اگرچه این شرکت گفته است که به طور مستقیم استقرار دانلود کننده را شناسایی نکرده است.
TrueBot به یک نهاد مجرمانه روسی به نام Silence نسبت داده می شود که به نوبه خود دارای پیوندهای تاریخی با Evil Corp و خوشه همپوشانی آن TA505 است که مورد دوم توزیع باج افزار Cl0p را در گذشته تسهیل کرده است.
محققان Huntress میگویند: «در حالی که هدف نهایی از فعالیت فعلی استفاده از نرمافزار PaperCut ناشناخته است، این پیوندها (اگرچه تا حدودی غیرمستقیم) به یک موجودیت باجافزار شناخته شده نگرانکننده است.
در ادامه افزود: «PaperCut تجزیه و تحلیلی را روی تمام گزارشهای مشتریان انجام داده است و اولین امضای فعالیت مشکوک روی سرور مشتری که به طور بالقوه به این آسیبپذیری مرتبط است، 14 آوریل 01:29 AEST / 13 آوریل 15:29 UTC است.»
این به روز رسانی در حالی ارائه می شود که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک نقص مهم (CVE-2023-27350، امتیاز CVSS - 9.8) را بر اساس شواهدی مبنی بر بهره برداری فعال به فهرست آسیب پذیری های شناخته شده مورد بهره برداری (KEV) اضافه کرده است.
شرکت امنیت سایبری Huntress که حدود 1800 سرور PaperCut را پیدا کرده است، گفت که دستورات PowerShell را مشاهده کرده است که از نرم افزار PaperCut برای نصب نرم افزارهای مدیریت و نگهداری از راه دور (RMM) مانند Atera و Syncro برای دسترسی مداوم و اجرای کد بر روی میزبان های آلوده ایجاد شده است.
تجزیه و تحلیل زیرساخت اضافی نشان داده است که دامنه میزبان ابزارها - windowservicecemter[.]com - در 12 آوریل 2023 ثبت شده است و همچنین میزبان بدافزارهایی مانند TrueBot است، اگرچه این شرکت گفته است که به طور مستقیم استقرار دانلود کننده را شناسایی نکرده است.
TrueBot به یک نهاد مجرمانه روسی به نام Silence نسبت داده می شود که به نوبه خود دارای پیوندهای تاریخی با Evil Corp و خوشه همپوشانی آن TA505 است که مورد دوم توزیع باج افزار Cl0p را در گذشته تسهیل کرده است.
محققان Huntress میگویند: «در حالی که هدف نهایی از فعالیت فعلی استفاده از نرمافزار PaperCut ناشناخته است، این پیوندها (اگرچه تا حدودی غیرمستقیم) به یک موجودیت باجافزار شناخته شده نگرانکننده است.