Vice Society 勒索軟件正在利用PrintNightmare漏洞進(jìn)行攻擊

Vice Society勒索軟件團(tuán)伙現(xiàn)在也在積極利用Windows打印假脫機(jī)程序PrintNightmare的漏洞，通過(guò)受害者的網(wǎng)絡(luò)進(jìn)行橫向移動(dòng)。

PrintNightmare是一組最近披露的安全漏洞(跟蹤為CVE-2021-1675、CVE-2021-34527和CVE-2021-36958)，發(fā)現(xiàn)它們會(huì)影響 Windows Print Spooler 服務(wù)、Windows 打印驅(qū)動(dòng)程序和 Windows Point and Print打印功能。

微軟已經(jīng)在6月、7月和8月發(fā)布了安全更新來(lái)解決CVE-2021-1675和CVE-2021-34527漏洞，并在上周發(fā)布了一份安全建議，其中包含了CVE-2021-36958(一個(gè)允許權(quán)限升級(jí)的零日漏洞)的解決方案。

攻擊者可以濫用這組安全漏洞進(jìn)行本地權(quán)限提升 (LPE) 或通過(guò)具有系統(tǒng)權(quán)限的遠(yuǎn)程代碼執(zhí)行 (RCE) 以 Windows 域管理員的身份分發(fā)惡意軟件。

PrintNightmare添加到Vice Society的武器庫(kù)

最近，思科研究人員觀察到Vice Society 勒索軟件運(yùn)營(yíng)商部署惡意動(dòng)態(tài)鏈接庫(kù) (DLL) 來(lái)利用兩個(gè)PrintNightmare缺陷(CVE-2021-1675 和 CVE-2021-34527)。

Vice Society 勒索軟件(可能是HelloKitty的衍生產(chǎn)品)使用 OpenSSL(AES256 + secp256k1 + ECDSA)加密 Windows 和 Linux 系統(tǒng)，正如勒索軟件專家 Michael Gillespie在6月中旬發(fā)現(xiàn)的那樣，當(dāng)時(shí)第一批樣本出現(xiàn)了。

Vice Society 團(tuán)伙主要針對(duì)人為雙重勒索攻擊中的中小型受害者，尤其關(guān)注公立學(xué)區(qū)和其他教育機(jī)構(gòu)。

Cisco Talos還列出了 Vice Society 最喜歡的策略、技術(shù)和程序 (TTP)，包括刪除備份以防止受害者恢復(fù)加密系統(tǒng)以及繞過(guò) Windows 保護(hù)以進(jìn)行憑據(jù)盜竊和特權(quán)升級(jí)。

“他們很快就會(huì)利用新的漏洞在受害者的網(wǎng)絡(luò)上進(jìn)行橫向移動(dòng)和持久化，”Cisco Talos說(shuō)。

“他們還試圖在端點(diǎn)檢測(cè)響應(yīng)繞過(guò)方面進(jìn)行創(chuàng)新”和“運(yùn)營(yíng)一個(gè)數(shù)據(jù)泄漏站點(diǎn)，他們用它來(lái)發(fā)布從不選擇支付勒索要求的受害者那里竊取的數(shù)據(jù)。”

PrintNightmare 被多個(gè)威脅參與者積極利用

coni和Magniber勒索軟件團(tuán)伙也使用PrintNightmare漏洞來(lái)攻擊未打補(bǔ)丁的Windows服務(wù)器。

今年6月中旬，Crowdstrike發(fā)現(xiàn)了Magniber試圖利用針對(duì)韓國(guó)受害者的攻擊中的Windows打印假脫機(jī)漏洞。

自從第一次報(bào)告該漏洞和概念驗(yàn)證漏洞被泄露以來(lái)，關(guān)于PrintNightmare漏洞開(kāi)發(fā)的報(bào)告[1,2,3]就一直在緩慢地出現(xiàn)。

“多個(gè)不同的威脅行動(dòng)者現(xiàn)在正在利用printnnightmare，只要它有效，這種漏洞利用攻擊可能會(huì)繼續(xù)增加，”思科塔洛斯補(bǔ)充說(shuō)。

“被稱為PrintNightmare的漏洞的使用表明，對(duì)手正在密切關(guān)注，并會(huì)在攻擊期間迅速整合他們認(rèn)為對(duì)各種目的有用的新工具。”

要防御這些正在進(jìn)行的攻擊，應(yīng)該盡快應(yīng)用任何可用的PrintNightmare補(bǔ)丁，并執(zhí)行微軟為CVE-2021-36958零日提供的解決方案，以躲避攻擊向量。

數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)安全事件是由安全漏洞導(dǎo)致的，尤其在地下論壇里很多舊的漏洞一直存在，這些漏洞被黑客利用的概率非常大。因此一方面要及時(shí)對(duì)出現(xiàn)的漏洞進(jìn)行修正和打好補(bǔ)丁，另一方面，在軟件開(kāi)發(fā)期間，不斷通過(guò)自動(dòng)化漏洞檢測(cè)工具，如靜態(tài)代碼檢測(cè)、SCA等，可以有效發(fā)現(xiàn)并及時(shí)修正代碼缺陷及運(yùn)行時(shí)漏洞，有助于提高軟件安全性，減少系統(tǒng)安全漏洞的同時(shí)，增強(qiáng)網(wǎng)絡(luò)抵御黑客攻擊的能力。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/vice-society-ransomware-joins-ongoing-printnightmare-attacks/