Microsoft affirme que des pirates informatiques soutenus par l’État iranien ont rejoint l’assaut en cours ciblant les serveurs de gestion d’impression PaperCut MF/NG vulnérables.
Ces groupes sont suivis sous le nom de Mango Sandstorm (alias Mercury ou Muddywater et lié au ministère iranien du renseignement et de la sécurité) et Mint Sandstorm (également connu sous le nom de Phosphorus ou APT35 et lié au Corps des gardiens de la révolution islamique d’Iran).
« L’activité d’exploitation de PaperCut par Mint Sandstorm semble opportuniste, affectant les organisations de tous les secteurs et zones géographiques », a déclaré l’équipe Microsoft Threat Intelligence.
« L’activité d’exploitation CVE-2023-27350 observée par Mango Sandstorm reste faible, les opérateurs utilisant des outils d’intrusions antérieures pour se connecter à leur infrastructure C2. »
Ils font suite à des attaques liées à Lace Tempest par Microsoft, un groupe de piratage dont l’activité malveillante chevauche les gangs de cybercriminalité FIN11 et TA505 liés à l’opération de rançongiciel Clop.
Redmond a également constaté que certaines intrusions entraînaient des attaques de rançongiciels LockBit, mais n’a pas pu fournir plus d’informations lorsqu’on lui a demandé de partager des détails supplémentaires.
La CISA a ajouté ce bogue à son catalogue de vulnérabilités activement exploitées le 21 avril, ordonnant aux agences fédérales de sécuriser leurs serveurs PaperCut dans les trois semaines d’ici le 12 mai 2023.
La vulnérabilité PaperCut exploitée dans ces attaques et identifiée comme CVE-2023-27350 est un bogue d’exécution de code à distance critique de pré-authentification dans PaperCut MF ou NG versions 8.0 ou ultérieures.
De grandes entreprises, des organisations d’État et des instituts d’enseignement du monde entier utilisent ce logiciel de gestion d’impression d’entreprise, le développeur de PaperCut revendiquant plus de 100 millions d’utilisateurs de plus de 70 000 entreprises.
Les chercheurs en sécurité ont publié des exploits PoC pour le bogue RCE peu après la divulgation initiale en mars 2023, Microsoft avertissant plusieurs jours plus tard que la vulnérabilité était utilisée pour l’accès initial aux réseaux d’entreprise par les gangs de rançongiciels Clop et LockBit.
Alors que plusieurs sociétés de cybersécurité ont publié des indicateurs de compromis et des règles de détection pour les exploits PaperCut, VulnCheck a partagé la semaine dernière des détails sur une nouvelle méthode d’attaque qui peut contourner les détections existantes, permettant aux attaquants de continuer à exploiter CVE-2023-27350 sans entrave.
« Les détections qui se concentrent sur une méthode d’exécution de code particulière, ou qui se concentrent sur un petit sous-ensemble de techniques utilisées par un acteur menaçant sont vouées à être inutiles lors de la prochaine série d’attaques », a déclaré Jacob Baines, chercheur en vulnérabilité VulnCheck.
« Les attaquants apprennent des détections publiques des défenseurs, il est donc de la responsabilité des défenseurs de produire des détections robustes qui ne sont pas facilement contournées. »
Les défenseurs sont encouragés à mettre immédiatement à niveau leurs logiciels PaperCut MF et PaperCut NG vers les versions 20.1.7, 21.2.11 et 22.0.9 et ultérieures, qui corrigent ce bogue RCE et suppriment le vecteur d’attaque.