Vice Society 勒索软件团伙现在还积极利用 Windows 打印后台处理程序 PrintNightmare 漏洞通过受害者网络横向移动。
PrintNightmare是一组最近披露的安全漏洞(跟踪为CVE-2021-1675、CVE-2021-34527和CVE-2021-36958),发现它们会影响 Windows Print Spooler 服务、Windows 打印驱动程序和 Windows Point and Print特征。
Microsoft 已在6 月、7 月和8 月发布了安全更新以解决 CVE-2021-1675 和 CVE-2021-34527 错误,并且本周还发布了安全公告,其中包含针对 CVE-2021-36958(零允许权限提升的日错误)。
攻击者可以滥用这组安全漏洞进行本地权限提升 (LPE) 或通过具有系统权限的远程代码执行 (RCE) 以 Windows 域管理员的身份分发恶意软件。
PrintNightmare 添加到 Vice Society 的武器库
最近,Cisco Talos 研究人员观察到Vice Society 勒索软件运营商部署恶意动态链接库 (DLL) 来利用两个 PrintNightmare 缺陷(CVE-2021-1675 和 CVE-2021-34527)。
Vice Society 勒索软件(可能是 HelloKitty 的衍生产品)使用 OpenSSL(AES256 + secp256k1 + ECDSA)加密 Windows 和 Linux 系统,正如勒索软件专家 Michael Gillespie在 6 月中旬第一个样本浮出水面时发现的那样。
Vice Society 团伙主要针对人为双重勒索攻击中的中小型受害者,尤其关注公立学区和其他教育机构。
Cisco Talos 还列出了 Vice Society 最喜欢的策略、技术和程序 (TTP),包括删除备份以防止受害者恢复加密系统以及绕过 Windows 保护以进行凭据盗窃和特权升级。
“他们很快就会利用新的漏洞在受害者的网络上进行横向移动和持久化,”Cisco Talos 说。
“他们还试图在端点检测响应绕过方面进行创新”和“运营一个数据泄漏站点,他们用它来发布从不选择支付勒索要求的受害者那里窃取的数据。”
PrintNightmare 被多个威胁参与者积极利用
在孔蒂和Magniber勒索团伙还利用PrintNightmare利用妥协未打补丁的Windows服务器。
6 月中旬,Crowdstrike 检测到 Magniber 试图利用 Windows 打印后台处理程序漏洞攻击韩国受害者。
自从首次报告该漏洞并泄露概念验证漏洞以来,野外 PrintNightmare 漏洞利用报告 [ 1 , 2 , 3 ] 一直在缓慢传播。
“多个不同的威胁参与者现在正在利用 PrintNightmare,只要它有效,这种采用可能会继续增加,”思科 Talos 补充道。
“使用被称为 PrintNightmare 的漏洞表明,攻击者正在密切关注,并将迅速整合他们认为在攻击期间对各种目的有用的新工具。”
为了抵御这些持续的攻击,您应该尽快应用任何可用的 PrintNightmare 补丁,并实施 Microsoft 为 CVE-2021-36958 零日漏洞提供的变通方法来消除攻击向量。