Vice Society 勒索软件正在利用PrintNightmare漏洞进行攻击
共 1698字,需浏览 4分钟
·
2021-08-16 10:39
Vice Society勒索软件团伙现在也在积极利用Windows打印假脱机程序PrintNightmare的漏洞,通过受害者的网络进行横向移动。
PrintNightmare是一组最近披露的安全漏洞(跟踪为CVE-2021-1675、CVE-2021-34527和CVE-2021-36958),发现它们会影响 Windows Print Spooler 服务、Windows 打印驱动程序和 Windows Point and Print打印功能。
微软已经在6月、7月和8月发布了安全更新来解决CVE-2021-1675和CVE-2021-34527漏洞,并在上周发布了一份安全建议,其中包含了CVE-2021-36958(一个允许权限升级的零日漏洞)的解决方案。
攻击者可以滥用这组安全漏洞进行本地权限提升 (LPE) 或通过具有系统权限的远程代码执行 (RCE) 以 Windows 域管理员的身份分发恶意软件。
PrintNightmare添加到Vice Society的武器库
最近,思科研究人员观察到Vice Society 勒索软件运营商部署恶意动态链接库 (DLL) 来利用两个PrintNightmare缺陷(CVE-2021-1675 和 CVE-2021-34527)。
Vice Society 勒索软件(可能是HelloKitty的衍生产品)使用 OpenSSL(AES256 + secp256k1 + ECDSA)加密 Windows 和 Linux 系统,正如勒索软件专家 Michael Gillespie在6月中旬发现的那样,当时第一批样本出现了。
Vice Society 团伙主要针对人为双重勒索攻击中的中小型受害者,尤其关注公立学区和其他教育机构。
Cisco Talos还列出了 Vice Society 最喜欢的策略、技术和程序 (TTP),包括删除备份以防止受害者恢复加密系统以及绕过 Windows 保护以进行凭据盗窃和特权升级。
“他们很快就会利用新的漏洞在受害者的网络上进行横向移动和持久化,”Cisco Talos说。
“他们还试图在端点检测响应绕过方面进行创新”和“运营一个数据泄漏站点,他们用它来发布从不选择支付勒索要求的受害者那里窃取的数据。”
PrintNightmare 被多个威胁参与者积极利用
coni和Magniber勒索软件团伙也使用PrintNightmare漏洞来攻击未打补丁的Windows服务器。
今年6月中旬,Crowdstrike发现了Magniber试图利用针对韩国受害者的攻击中的Windows打印假脱机漏洞。
自从第一次报告该漏洞和概念验证漏洞被泄露以来,关于PrintNightmare漏洞开发的报告[1,2,3]就一直在缓慢地出现。
“多个不同的威胁行动者现在正在利用printnnightmare,只要它有效,这种漏洞利用攻击可能会继续增加,”思科塔洛斯补充说。
“被称为PrintNightmare的漏洞的使用表明,对手正在密切关注,并会在攻击期间迅速整合他们认为对各种目的有用的新工具。”
要防御这些正在进行的攻击,应该尽快应用任何可用的PrintNightmare补丁,并执行微软为CVE-2021-36958零日提供的解决方案,以躲避攻击向量。
数据显示,90%的网络安全事件是由安全漏洞导致的,尤其在地下论坛里很多旧的漏洞一直存在,这些漏洞被黑客利用的概率非常大。因此一方面要及时对出现的漏洞进行修正和打好补丁,另一方面,在软件开发期间,不断通过自动化漏洞检测工具,如静态代码检测、SCA等,可以有效发现并及时修正代码缺陷及运行时漏洞,有助于提高软件安全性,减少系统安全漏洞的同时,增强网络抵御黑客攻击的能力。
参读链接:
https://www.bleepingcomputer.com/news/security/vice-society-ransomware-joins-ongoing-printnightmare-attacks/