حذرت وكالات الأمن السيبراني والاستخبارات الأمريكية من هجمات نفذها طرف تهديد يعرف باسم Bl00dy Ransomware Gang والتي تحاول استغلال خوادم PaperCut الضعيفة ضد قطاع المرافق التعليمية في البلاد.
وقعت الهجمات في أوائل مايو 2023. حسبما قال مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) في تقرير استشاري مشترك بشأن الأمن السيبراني صدر يوم الخميس.
وقالت الوكالات: “تمكنت Bl00dy Ransomware Gang من الوصول إلى شبكات الضحايا عبر القطاع الفرعي للمرافق التعليمية حيث تعرضت خوادم PaperCut المعرضة لخطر CVE-2023-27350 للإنترنت”.
في النهاية. أدت بعض هذه العمليات إلى استخراج البيانات وتشفير الأنظمة الضحية. ترك Bl00dy Ransomware Gang ملاحظات فدية على أنظمة الضحايا التي تطالب بالدفع مقابل فك تشفير الملفات المشفرة.”
بالإضافة إلى ذلك. كما قيل إن الجهات الفاعلة في Bl00dy قد استخدمت TOR. ووكلاء آخرين من داخل شبكات الضحية للاتصالات الخارجية في محاولة لإخفاء حركة المرور الضارة وتجنب الكشف عنها.
إجراء تنفيذ التعليمات البرمجية عن بُعد على التركيبات المتأثرة التالية.
إجراء تنفيذ التعليمات البرمجية عن بُعد على التركيبات المتأثرة التالية. من 8.0.0 إلى 19.2.7 ومن 20.0.0 إلى 20.1.6 ومن 21.0.0 إلى 21.2.10 ومن 22.0.0 إلى 22.0.8. Bl00dy Ransomware Gang
بينما. CVE-2023-27350 هو عيب أمني خطير تم تصحيحه الآن ويؤثر على بعض إصدارات PaperCut MF و NG التي تمكن الممثل البعيد من تجاوز المصادقة وتنفيذ التعليمات البرمجية عن بُعد على التثبيتات المتأثرة التالية.
تمت ملاحظة الاستغلال الضار للثغرة الأمنية منذ منتصف أبريل 2023. حيث قامت الهجمات في المقام الأول باستخدامها كسلاح لنشر برامج إدارة وصيانة (RMM) شرعية واستخدام الأداة لإسقاط حمولات إضافية مثل Cobalt Strike Beacons و DiceLoader و TrueBot عند الاختراق الأنظمة.
يأتي هذا الكشف في الوقت الذي كشفت فيه شركة الأمن السيبراني eSentire. بناء على ذلك يتم الحديث عن نشاط جديد يستهدف عميلاً من قطاع التعليم لم يذكر اسمه. وتضمن استغلال CVE-2023-27350 لإسقاط عامل منجم XMRig للعملات المشفرة.
تم نشر الهجمات ضد خوادم إدارة الطباعة PaperCut أيضًا من قبل مجموعات التهديد التي ترعاها الدولة الإيرانية Mango Sandstorm. (المعروف أيضًا باسم MuddyWater أو Mercury) و Mint Sandstorm (المعروف أيضًا باسم Phosphorus). حسبما كشفت Microsoft الأسبوع الماضي.