قالت مايكروسوفت إن مجموعات الدولة القومية الإيرانية انضمت الآن إلى الجهات الفاعلة ذات الدوافع المالية في استغلال عيب خطير في برنامج إدارة الطباعة PaperCut. تحذر Microsoft من الهجمات
قال فريق استخبارات التهديدات بعملاق التكنولوجيا إنه لاحظ كلاً من Mango Sandstorm (Mercury) و Mint Sandstorm (Phosphorus) يسلحان CVE-2023-27350 في عملياتهما لتحقيق الوصول الأولي.
وقالت مايكروسوفت في سلسلة تغريدات: “يُظهر هذا النشاط قدرة Mint Sandstorm المستمرة على دمج عمليات استغلال [إثبات المفهوم] بسرعة في عملياتها”.
من ناحية أخرى يقال إن نشاط استغلال CVE-2023-27350 المرتبط بـ Mango Sandstorm يقع في الطرف الأدنى من الطيف. حيث تستخدم المجموعة التي ترعاها الدولة “أدوات من التدخلات السابقة للاتصال بالبنية التحتية C2 الخاصة بهم.”
كما. تجدر الإشارة إلى أن Mango Sandstorm مرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS) ويقال إن Mint Sandstorm مرتبطة بالحرس الثوري الإسلامي (IRGC).
فترة الهجوم:
يأتي الهجوم المستمر بعد أسابيع من تأكيد مايكروسوفت تورط Lace Tempest. وهي عصابة للجرائم الإلكترونية تتداخل مع مجموعات قرصنة أخرى مثل FIN11 و TA505 و Evil Corp. في إساءة استخدام الخلل لتقديم برامج الفدية Cl0p و LockBit.
تتعلق CVE-2023-27350 (درجة CVSS: 9.8) بعيب فادح في تثبيتات PaperCut MF و NG التي يمكن استغلالها بواسطة مهاجم غير مصادق لتنفيذ تعليمات برمجية عشوائية بامتيازات SYSTEM.
تم توفير التصحيح بواسطة PaperCut في 8 مارس 2023. ومن المتوقع أن تصدر مبادرة Zero Day (ZDI) من Trend Micro. التي اكتشفت المشكلة وأبلغت عنها. المزيد من المعلومات التقنية حولها في 10 مايو 2023.
نشرت شركة الأمن السيبراني VulnCheck ، الأسبوع الماضي ، تفاصيل عن خط هجوم جديد يمكنه التحايل على الاكتشافات الحالية. مما يمكّن الخصوم من الاستفادة من الخلل دون عوائق.
مع دخول المزيد من المهاجمين في عربة استغلال PaperCut لاختراق الخوادم الضعيفة. من الضروري أن تتحرك المؤسسات بسرعة لتطبيق التحديثات الضرورية (الإصدارات 20.1.7 و 21.2.11 و 22.0.9 والإصدارات الأحدث).
كما. يأتي هذا التطور أيضًا في أعقاب تقرير من Microsoft كشف أن الجهات الفاعلة في التهديد الإيراني في إيران تعتمد بشكل متزايد على تكتيك جديد يجمع بين العمليات السيبرانية الهجومية وعمليات التأثير متعددة الجوانب من أجل “تأجيج التغيير الجيوسياسي بما يتماشى مع أهداف النظام”. تحذر Microsoft من الهجمات
يتزامن هذا التحول مع زيادة وتيرة تبني نقاط الضعف التي تم الإبلاغ عنها حديثًا. واستخدام مواقع الويب المخترقة للقيادة والسيطرة لإخفاء مصدر الهجمات بشكل أفضل. وتسخير الأدوات المخصصة والحرف اليدوية لتحقيق أقصى تأثير.