Các cơ quan tình báo và an ninh mạng của Hoa Kỳ đã cảnh báo về các cuộc tấn công được thực hiện bởi một tác nhân đe dọa được gọi là Nhóm mã độc tống tiền Bl00dy cố gắng khai thác các máy chủ PaperCut dễ bị tấn công nhằm vào lĩnh vực cơ sở giáo dục trong nước.
Các cuộc tấn công diễn ra vào đầu tháng 5 năm 2023, Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) cho biết trong một tư vấn chung về an ninh mạng được ban hành hôm thứ Năm.
“Băng nhóm ransomware Bl00dy đã giành được quyền truy cập vào các mạng nạn nhân trên khắp Phân ngành cơ sở giáo dục nơi các máy chủ PaperCut dễ bị tấn công CVE-2023-27350 bị lộ trên internet,” các cơ quan cho biết.
“Cuối cùng, một số hoạt động này đã dẫn đến việc đánh cắp dữ liệu và mã hóa hệ thống của nạn nhân. Nhóm ransomware Bl00dy đã để lại các ghi chú đòi tiền chuộc trên hệ thống nạn nhân yêu cầu thanh toán để đổi lấy việc giải mã các tệp được mã hóa.”
CVE-2023-27350 là một lỗ hổng bảo mật nghiêm trọng hiện đã được vá ảnh hưởng đến một số phiên bản của PaperCut MF và NG, cho phép một tác nhân từ xa bỏ qua xác thực và tiến hành thực thi mã từ xa trên các cài đặt bị ảnh hưởng sau đây.
Việc khai thác lỗ hổng một cách độc hại đã được quan sát thấy từ giữa tháng 4 năm 2023, với các cuộc tấn công chủ yếu sử dụng vũ khí hóa lỗ hổng để triển khai phần mềm quản lý và bảo trì từ xa (RMM) hợp pháp và sử dụng công cụ này để loại bỏ các tải trọng bổ sung như Cobalt Strike Beacons, DiceLoader và TrueBot khi bị xâm phạm các hệ thống.
Tiết lộ được đưa ra khi công ty an ninh mạng eSentire phát hiện ra hoạt động mới nhắm mục tiêu vào một khách hàng giấu tên trong lĩnh vực giáo dục có liên quan đến việc khai thác CVE-2023-27350 để thả một công cụ khai thác tiền điện tử XMRig.
Các cuộc tấn công nhằm vào các máy chủ quản lý in ấn PaperCut cũng đã được triển khai bởi các nhóm đe dọa do nhà nước Iran bảo trợ Mango Sandstorm (còn gọi là MuddyWater hoặc Mercury) và Mint Sandstorm (hay còn gọi là Phốt pho), Microsoft tiết lộ vào tuần trước.
