Программа-вымогатель Vice Society присоединилась к продолжающимся атакам PrintNightmare

35
Операция «фишинг как услуга» использует двойное воровство для увеличения прибыли

Банда вымогателей Vice Society теперь также активно использует уязвимость PrintNightmare диспетчера очереди печати Windows для бокового перемещения по сетям своих жертв.

PrintNightmare – это набор недавно обнаруженных недостатков безопасности (отслеживаемых как CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958), которые влияют на службу диспетчера очереди печати Windows, драйверы печати Windows и Windows Point and Print. особенность.

Microsoft выпустила обновления безопасности для устранения ошибок CVE-2021-1675 и CVE-2021-34527 в июне , июле и августе , а также на этой неделе опубликовала рекомендации по безопасности с обходным путем для CVE-2021-36958 (нулевой – дневной баг, позволяющий повысить привилегии).

Злоумышленники могут использовать этот набор недостатков безопасности для локального повышения привилегий (LPE) или распространения вредоносных программ в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.

PrintNightmare добавлен в арсенал Vice Society

Недавно исследователи Cisco Talos наблюдали, как операторы программ-вымогателей Vice Society развертывают вредоносную библиотеку динамической компоновки (DLL) для использования двух недостатков PrintNightmare (CVE-2021-1675 и CVE-2021-34527).

Программа-вымогатель Vice Society (вероятно, дочерняя компания HelloKitty) шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA), как обнаружил эксперт по программам-вымогателям Майкл Гиллеспи в середине июня, когда появились первые образцы.

Банда Vice Society в основном нацелена на маленьких или средних жертв в нападениях с двойным вымогательством, управляемыми людьми, при этом особое внимание уделяется округам государственных школ и другим образовательным учреждениям.

Cisco Talos также составила список излюбленных тактик, приемов и процедур (TTP) Vice Society, включая удаление резервных копий для предотвращения восстановления зашифрованных систем жертвами и обход средств защиты Windows для кражи учетных данных и повышения привилегий.

«Они быстро используют новые уязвимости для бокового перемещения и устойчивости в сети жертвы», – сказал Cisco Talos.

«Они также пытаются быть новаторскими в обходе ответов при обнаружении конечных точек» и «управляют сайтом утечки данных, который они используют для публикации данных, полученных от жертв, которые не хотят платить по своим требованиям о вымогательстве».

PrintNightmare активно используется множеством злоумышленников

Conti и Magniber вымогатели банда также использует PrintNightmare использует для скомпрометировать незакрытые сервера Windows.

Попытки Magniber использовать уязвимости диспетчера очереди печати Windows при атаках на южнокорейских жертв были обнаружены Crowdstrike в середине июня.

Отчеты об эксплуатации PrintNightmare в дикой природе [ 1 , 2 , 3 ] медленно поступали с тех пор, как впервые было сообщено об уязвимости и произошла утечка информации об эксплойтах, подтверждающих правильность концепции .

«Множество различных злоумышленников сейчас используют преимущества PrintNightmare, и это внедрение, вероятно, будет продолжать расти, пока оно будет эффективным», – добавил Cisco Talos.

«Использование уязвимости, известной как PrintNightmare, показывает, что злоумышленники уделяют пристальное внимание и будут быстро внедрять новые инструменты, которые они сочтут полезными для различных целей во время своих атак».

Чтобы защититься от этих продолжающихся атак, вы должны как можно скорее применить все доступные исправления PrintNightmare и реализовать обходные пути, предоставленные Microsoft для нулевого дня CVE-2021-36958, чтобы удалить вектор атаки.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here