 ۹ مه ۲۰۲۳  جاسوسی/آسیب پذیری سایبری راوی لاکشمانان

مایکروسافت بیان کرد که گروه‌های ملت-دولت ایرانی اکنون به بازیگران دارای انگیزه مالی پیوسته‌اند تا فعالانه از یک نقص مهم در نرم‌افزار مدیریت چاپ PaperCut بهره‌برداری کنند.

تیم اطلاعاتی تهدید غول فناوری اعلام کرد که هر دو طوفان شن مانگو (عطارد) و طوفان شن نعناع (فسفر) را در عملیات خود برای دستیابی به دسترسی اولیه به سلاح CVE-2023-27350 رصد کرده است.

مایکروسافت در مجموعه‌ای از توییت‌ها گفت: «این فعالیت توانایی مستمر Mint Sandstorm را برای گنجاندن سریع اکسپلویت‌های [اثبات مفهومی] در عملیات‌های خود نشان می‌دهد».

از سوی دیگر، فعالیت های بهره برداری CVE-2023-27350 مرتبط با Mango Sandstorm گفته می شود که در انتهای پایین طیف قرار دارد و گروه تحت حمایت دولت "از ابزارهای نفوذهای قبلی برای اتصال به زیرساخت C2 خود استفاده می کند."

شایان ذکر است که طوفان شن مانگو با وزارت اطلاعات و امنیت ایران (MOIS) مرتبط است و گفته می شود که طوفان شن نعناع با سپاه پاسداران انقلاب اسلامی (سپاه) مرتبط است.

حمله مداوم چند هفته پس از تایید مایکروسافت انجام می شود، یک باند جرایم سایبری که با سایر گروه های هکر مانند FIN11، TA505 و Evil Corp همپوشانی دارد و از این نقص برای ارائه باج افزار Cl0p و LockBit استفاده می کند.

CVE-2023-27350 (امتیاز CVSS: 9.8) به یک نقص مهم در نصب PaperCut MF و NG مربوط می شود که می تواند توسط یک مهاجم احراز هویت نشده برای اجرای کد دلخواه با امتیازات SYSTEM مورد سوء استفاده قرار گیرد.

وصله‌ای توسط PaperCut در ۸ مارس ۲۰۲۳ در دسترس قرار گرفت. انتظار داریم که Trend Micro's Zero Day Initiative (ZDI) که این مشکل را کشف و گزارش کرد، اطلاعات فنی بیشتری در مورد آن در ۱۰ می ۲۰۲۳ منتشر کند.

شرکت امنیت سایبری VulnCheck، هفته گذشته جزئیاتی را درباره خط حمله جدیدی منتشر کرد که می‌تواند شناسایی‌های موجود را دور بزند و دشمنان را قادر می‌سازد تا بدون مانع از این نقص استفاده کنند.

با ورود مهاجمان بیشتری به باند بهره برداری PaperCut برای نفوذ به سرورهای آسیب پذیر، ضروری است که سازمان ها به سرعت برای اعمال به روز رسانی های لازم (نسخه های ۲۰.۱.۷، ۲۱.۲.۱۱، و ۲۲.۰.۹ و جدیدتر) حرکت کنند.

این توسعه همچنین به دنبال گزارشی از مایکروسافت است که فاش کرد بازیگران تهدیدکننده ایران در ایران به طور فزاینده‌ای بر تاکتیک جدیدی تکیه می‌کنند که عملیات سایبری تهاجمی را با عملیات نفوذ چند جانبه ترکیب می‌کند تا «تغییر ژئوپلیتیکی در راستای اهداف رژیم را تقویت کند».

این تغییر همزمان با افزایش سرعت در پذیرش آسیب‌پذیری‌های گزارش‌شده جدید، استفاده از وب‌سایت‌های در معرض خطر برای فرمان و کنترل برای پنهان کردن بهتر منبع حملات، و استفاده از ابزارهای سفارشی و تجارت برای حداکثر تأثیر است.