وبسایت هکرید در گزارشی به قلم دیبا احمد به نقل از هشدار مایکروسافت مدعی است دو گروه هکری ایرانی به نرمافزار پیپرکات نفوذ کردهاند.
به گزارش گرداب، دو گروهی که از نقص این برنامه سواستفاده میکنند، مانگو سنداستورم (Mango Sandstorm) و مینت سنداستورم (Mint Sandstorm) نام دارند. هر دو گروه نیز با دولت ایران و سازمانهای اطلاعاتی ارتباط دارند.
نقص پیپرکات (PaperCut)، نقصی در نرمافزار مدیریت چاپ است و کارش این است که به عوامل ناشناس اجازه بدهد کد دلخواه خود را اجرا کنند، امتیازات سیستم را به دست آورده و اطلاعات شخصی و حساس ذخیره شده در سرورهای شرکت را تصاحب کنند.
تیم اطلاعاتی خطرهای مایکروسافت گزارش داده که دو گروه هکر تحت حمایت دولت ایران همین حالا در حال سوءاستفاده از نقصی که در نرمافزار مدیریت پسورد (پیپرکات) کشف شده هستند. بسیاری از آژانسهای دولتی، موسسات آموزشی و سازمانهای بزرگ در سراسر جهان، از جمله کاربران اصلی پیپرکات هستند.
سوءاستفاده هکرها از نقص کشف شده در پیپرکات
براساس گزارشهای مایکروسافت، منگو سنداستورم (یا همان مرکوری) و مینت سنداستورم (یا همان فسفر) دارند از نقض پیپرکات (با نام CVE-۲۰۲۳-۲۷۳۵۰ و با امتیاز CVSS ۹.۸) استفاده میکنند تا بتوانند برای حملات خود به همه چیز دسترسی اولیه داشته باشند.
این نشان میدهد که مینت سنداستورم همواره در تلاش است تا از نقصهای پیاوسی (PoC) به نفع خود استفاده کند، آن هم در حالی که آمار فعالیتهای سوءاستفادهی منگو سنداستورم بسیار پایین است. هدف این تهدیدکنندگان شرکتهایی است که از نسخههای بدون پچ نرمافزار چاپ استفاده میکنند.
به گفتهی مایکروسافت، یک سری شواهدی وجود دارد که نشان میدهد همین حالا دارد از سرورهای ارسال نشده سوءاستفاده میشود.
روز جمعه، مایکروسافت اعلام کرد که دو تهدیدکنندهی دولتی-ملی به نامهای مینت سنداستورم و منگو سنداستورم به شرکتهایی حمله کردهاند که نسخههای پچ نشدهی نرمافزار پیپرکات را اجرا میکنند. خیلی از سازمانهای دولتی، دانشگاهها و شرکتهای بزرگ در سراسر جهان از این نسخهها استفاده میکنند.
این قضیه چه زمانی کشف شد؟
این نقص را اولین بار بنیاد ترند مایکرو زیرو دی (Trend Micro Zero Day Initiative) در ۸ مارس کشف کرد. این شرکت سریعاً یکی از بهروزرسانیهای برنامه را برای مشاور خود ارسال کرد و از سازمانهایی که از پیپرکات استفاده میکردند تقاضا کرد تا پچ جدیدش را نصب کنند. از زمان انتشار این درخواست، بسیاری از گروههای باجافزاری از جمله لاکبیت (LockBit) و کلاپ (Clop) نیز شروع به سوءاستفاده از آن کردند.
اوج این حملات دقیقا بعد از این که مایکروسافت خبر داد که گروه جرائم سایبری لِیس تمپست (Lace Tempest) سعی دارد از نقص این برنامه برای سوءاستفاده و توزیع باجافزار لاکبیت و کلاپ استفاده کند، شروع شد. این نقص در تاسیسات انجی (NG) و اماف (MF) پیپرکات شناسایی شد. ترند مایکرو میگوید جزئیات بیشتر دربارهی این نقص در تاریخ ۱۰ مِی منتشر خواهد شد.
در نهایت، خطرات این نقص چیست؟
یک عامل غیرمعتبر میتواند به راحتی برای اجرای کد دلخواه خود از این نقص سوءاستفاده کند، چون به راحتی میشود امتیازات سیستم را به دست آورد. هکرها میتوانند از راه دور به سیستمهای قربانیان خود دسترسی پیدا کنند و اطلاعات شخصی و حساسشان از جمله نام کاربری، نام و نام خانوادگی، شماره کارت پرداخت مرتبط با حساب و آدرس ایمیل که معمولا هم در سرورهای شرکت ذخیره شدهاند را به دست آورند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) ماه گذشته این نقص را به فهرست نقصهای سوءاستفاده شدهی خود اضافه کرد و به آژانسهای غیرنظامی فدرال تا ۱۲ مه سال ۲۰۲۳ برای نصب پچ جدید مهلت داد.