Microsoft、LockBit および Cl0p ランサムウェアの配信に PaperCut サーバーが使用されていることを確認 from thehackernews.com

Microsoft は、PaperCut サーバーの積極的な悪用が、Cl0p および LockBit ランサムウェア ファミリを配信するように設計された攻撃に関連していることを確認しました。
「観測された攻撃では、Lace Tempest は複数の PowerShell コマンドを実行して TrueBot DLL を配信し、C2 サーバーに接続して LSASS 資格情報を盗もうとし、TrueBot ペイロードを conhost.exe サービスに注入しました」と Microsoft は一連のツイートで述べています。
2 つのセキュリティ脆弱性の悪用に成功すると、認証されていないリモート攻撃者が任意のコードを実行し、機密情報への不正アクセスを取得する可能性があります。
この開発は、FIN7 として監視されていたロシアのサイバー犯罪グループが、パッチが適用されていない Veeam バックアップ ソフトウェア インスタンスを悪用して POWERTRASH を配布する攻撃にリンクされていることから発生しました。
POWERHOLD と DUBLOADER は、FIN7 がその攻撃手段に追加した唯一の新しいマルウェアではありません。
ZDI によると、実際のエクスプロイトの最初の兆候は 2023 年 4 月 11 日に出現し、攻撃者はこの欠陥を利用して Mirai コマンド アンド コントロール (C2) サーバーに HTTP リクエストを送信し、ペイロードをダウンロードして実行しました。