PaperCut漏洞被勒索软件利用，教育机构成为目标

重要信息概览

• FBI和网络安全及基础设施安全局（CISA）发布联合通告，警告PaperCut伺服器存在的重大漏洞。
• 此漏洞已被勒索软件团伙Bl00dy Ransomware Gang利用，对教育机构展开攻击。
• 建议未及时修补的机构假设已遭到入侵，并采取行动检测恶意活动。

FBI和网络安全及基础设施安全局（CISA）在周四发布了一项联合通告，警告一个对PaperCut伺服器的重大漏洞正受到勒索软件攻击者的积极利用，特别是针对教育机构。

这一重大漏洞——根据通用漏洞评分系统（CVSS）被评为9.8，接近满分10——允许未经身份验证的远程代码执行，且出现在某些版本的PaperCutNG和PaperCut MF中。

PaperCut在2023年3月发布了修补程序，但根据FBI的报告，一个自称为Bl00dy RansomwareGang的团体在4月中旬开始观察到他们利用此漏洞进行攻击，并持续至今。联合通告中提供了检测利用方法及与Bl00dy RansomwareGang活动有关的妥协指标（IOC）。

FBI和CISA鼓励未立即进行修补的机构，假设已遭到妥协，并使用通告中的检测签名来搜寻恶意活动。如果检测到潜在的妥协，机构应遵循FBI和CISA的事故响应建议。

在4月底，指出，近1800台暴露于互联网的伺服器已通过PaperCut漏洞被攻击，以便安装Atera和Syncro远程管理及维护软件，这些软件托管在一个之前用于托管的域名上。根据Huntress的报告，TrueBot与俄罗斯威胁组织Silence有关，而Silence则与EvilCorp及TA505威胁集团有联系。

Tanium的高级总监和技术帐户管理者Shawn Surber表示，教育行业的组织应该追踪的不仅仅是IOC，他们还应该根据该团体的已知行为建立检测。

Surber说：“在这种情况下，检测方法提示要监控从pc-
app.exe生成的子进程以及对PaperCut伺服器设置的修改。受影响的组织在类似情况下应寻找基于行为的恶意活动，除了传统的基于签名的安全措施。”

Horizon3.ai的首席攻击工程师ZachHanley指出，州、地方和教育机构经常成为勒索软件攻击的理想目标，这是由于它们的历史安全姿态和支付倾向。PaperCut的漏洞对于暴露于互联网的组织来说，就像威胁行为者的完美风暴，允许代码执行并访问内部网络。

Hanley表示：“这种高度特权的角色使攻击者能够从数个子系统（如LSASS、LSA和SAM）中转储存储在系统上的凭证。转储的凭证然后让攻击者在企业内侧如同合法用户一样进行横向移动和枢纽跳转。”