Банда вымогателей использует PrintNightmare для взлома серверов Windows

39
Microsoft PC Health Check добавляет подробную информацию о совместимости с Windows 11

Операторы программ-вымогателей добавили в свой арсенал эксплойты PrintNightmare и нацелены на серверы Windows для развертывания полезных нагрузок программы-вымогателя Magniber.

PrintNightmare – это класс уязвимостей безопасности (отслеживаемых как CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ), влияющих на службу диспетчера очереди печати Windows, драйверы печати Windows и функцию Windows Point and Print.

Microsoft выпустила обновления безопасности для CVE-2021-1675 и CVE-2021-34527 в июне, июле и августе.

В среду компания также опубликовала рекомендации по безопасности, в которых предлагается обходной путь для CVE-2021-36958 (ошибка нулевого дня, позволяющая повышать привилегии без доступного исправления).

Злоумышленники могут использовать эти недостатки безопасности при локальном повышении привилегий (LPE) или распространять вредоносное ПО в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.

Программа-вымогатель теперь использует эксплойты PrintNightmare

И, как обнаружили в прошлом месяце исследователи Crowdstrike, банда вымогателей Magniber теперь использует эксплойты PrintNightmare именно для этих целей в атаках на южнокорейских жертв.

«13 июля CrowdStrike успешно обнаружил и предотвратил попытки использования уязвимости PrintNightmare, защищая клиентов до того, как будет выполнено какое-либо шифрование», – сказала Ливиу Арсен , директор Crowdstrike по исследованию угроз и отчетности.

После компрометации серверов, на которых не установлено исправление для PrintNightmare, Magniber удаляет запутанный загрузчик DLL, который сначала вводится в процесс, а затем распаковывается для выполнения локального обхода файлов и шифрования файлов на скомпрометированном устройстве.

В начале февраля 2021 года Crowdstrike заметила, что Magniber доставляется через Magnitude EK на южнокорейские устройства под управлением Internet Explorer, не защищенного от уязвимости CVE-2020-0968 .

Программа-вымогатель Magniber была активна с октября 2017 года , когда она была развернута с помощью вредоносной рекламы с использованием комплекта Magnitude Exploit Kit (EK) в качестве преемника программы- вымогателя Cerber .

Первоначально группировка Magniber была сосредоточена на жертвах из Южной Кореи, но вскоре расширила свою деятельность по всему миру , переключив цели на другие страны, включая Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие.

Ожидается, что больше групп угроз пополнят свои арсеналы PrintNightmare

Несмотря на то, что у нас есть только доказательства того, что только банда Magniber использует эксплойты PrintNightmware в дикой природе, другие злоумышленники, скорее всего, присоединятся к ним, учитывая, что с момента сообщения об уязвимости было выпущено несколько эксплойтов, подтверждающих концепцию.

«По оценкам CrowdStrike, уязвимость PrintNightmare в сочетании с развертыванием программы-вымогателя, вероятно, продолжит эксплуатироваться другими злоумышленниками», – заключил Арсен.

Для защиты от атак, которые могут быть нацелены на вашу сеть, рекомендуется как можно скорее применить все доступные исправления и реализовать обходные пути, предоставленные Microsoft, для удаления вектора атаки, если обновление для системы безопасности еще не доступно.

13 июля CISA выпустила экстренную директиву, предписывающую федеральным агентствам устранить активно используемую уязвимость PrintNightmare в своих сетях.

Агентство по кибербезопасности также опубликовало 1 июля предупреждение PrintNightmare, призвав специалистов по безопасности отключить службу Windows Print Spooler на всех системах, не используемых для печати.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here