- Gần đây, các nhà nghiên cứu bảo mật đã phát hiện ra một số nhóm APT mới có liên quan đến Iran như: Mango Sandstorm (hay còn được gọi là Mercury) và Mint Sandstorm (hay còn được biết đến với tên gọi APT35).
Các nhóm này đã tham gia cuộc tấn công nhằm vào việc khai thác lỗ hổng nghiêm trọng trong phần mềm quản lý in PaperCut. Theo các nghiên cứu của Microsoft, cả nhóm Mango Sandstorm và nhóm Mint Sandstorm đều đang tích cực khai thác lỗ hổng CVE-2023-27350 để có được quyền truy cập ban đầu.
 |
| Ảnh minh họa |
Lỗ hổng bảo mật CVE-2023-27350 (điểm CVSS:9,8) có mức ảnh hưởng Nghiêm trọng liên quan đến bản cài đặt PaperCut MF/NG phiên bản 8.0 trở lên. Lỗ hổng này cho phép các đối tượng tấn công không cần xác thực có thể thực thi mã tùy ý với các đặc quyền của hệ thống.
PaperCut là một phần mềm quản lý in với hơn 100 triệu người dùng của 70.000 doanh nghiệp bao gồm các công ty lớn, tổ chức nhà nước, giáo dục trên toàn thế giới. Điều này cho thấy nếu việc khai thác thành công lỗ hổng có thể gây ảnh hưởng rất nghiêm trọng đến hệ thống của nhiều cơ quan, tổ chức.
Sau vài tuần diễn ra cuộc tấn công Microsoft đã xác nhận có sự tham gia của nhóm tấn công Lace Tempest, đây là nhóm APT hoạt động chung với các nhóm tấn công FIN11 và TA505 có liên quan đến ransomware Clop. Ngoài ra, một số cuộc xâm nhập đã dẫn đến các cuộc tấn công ransomware LockBit.
Để giảm thiểu nguy cơ bị tấn công mạng các cơ quan, tổ chức sử dụng phần mềm PaperCut nên cập nhật lên các phiên bản 20.1.7, 21.2.11 và 22.0.9 trở lên.
PV
