Microsoft segnala la minaccia di gruppi APT legati all’Iran

Microsoft ha diramato un warning circa il fatto che gruppi APT legati all’Iran sono stati osservati sfruttare la falla CVE-2023-27350 in attacchi contro i server di gestione della stampa PaperCut MF/NG.

La falla CVE-2023-27350 è una vulnerabilità dell’Improper Access Control di PaperCut MF/NG. Questo contiene infatti una vulnerabilità nel controllo degli accessi impropri all’interno della classe SetupCompleted che consente l’aggiramento dell’autenticazione e l’esecuzione di codice nel contesto di SYSTEM.

Il 19 aprile, il fornitore del print management software PaperCut ha confermato di essere a conoscenza dello sfruttamento effettivo della vulnerabilità CVE-2023-27350.

L’azienda ha ricevuto due segnalazioni di vulnerabilità dalla società di cybersicurezza Trend Micro per problemi di sicurezza di gravità elevata/critica in PaperCut MF/NG.
Ora Microsoft ha osservato che i gruppi legati all’Iran Mango Sandstorm (alias Mercury o Muddywater) e Mint Sandstorm (alias Phosphorus o APT35) sfruttano la suddetta falla.

«Altri attori stanno sfruttando la falla non patchata CVE-2023-27350 nel software di gestione della stampa Papercut dall’ultima volta che abbiamo segnalato Lace Tempest. Microsoft ha ora osservato i threat actor iraniani Mint Sandstorm (PHOSPHORUS) e Mango Sandstorm (MERCURY) sfruttare la CVE-2023-27350», si legge in un tweet pubblicato dal Microsoft Threat Intelligence team.

Gli esperti di Microsoft hanno evidenziato che entrambi i gruppi APT hanno iniziato a sfruttare la falla poco dopo la pubblicazione dei POC pubblici per CVE-2023-27350. Gli attacchi mostrano la capacità di entrambi i gruppi di adattare rapidamente le loro strategie aggiungendo nuovi exploit POC al loro arsenale.

I ricercatori ritengono che l’attività di exploitation di PaperCut da parte del gruppo Mint Sandstorm sia di natura occasionale, in quanto si è osservato come il gruppo hacker iraniano si sia reso protagonista di attacchi contro organizzazioni in settori e aree geografiche tra loro eterogenei.

Microsoft ha inoltre segnalato che l’attività di exploitation di CVE-2023-27350 da parte della seconda APT iraniana, Mango Sandstorm, rimane limitata, con il gruppo di hacker statuali^[1]secondo la terminologia anglofona, state-sponsored hackers group che ha in più occasioni “riciclato” tool derivati da precedenti intrusioni per connettersi alla infrastruttura C2^[2]Command and Control: infrastruttura remota in grado di impartire comandi, monitorare, ricevere e inviare dati dalle componenti malware distribuite nei dispositivi o sistemi infetti.