Vice Society 勒索軟體正在利用PrintNightmare漏洞進行攻擊
Vice Society勒索軟體團伙現在也在積極利用Windows列印假離線程式PrintNightmare的漏洞,透過受害者的網路進行橫向移動。
PrintNightmare是一組最近披露的安全漏洞(跟蹤為CVE-2021-1675、CVE-2021-34527和CVE-2021-36958),發現它們會影響 Windows Print Spooler 服務、Windows 列印驅動程式和 Windows Point and Print列印功能。
微軟已經在6月、7月和8月釋出了安全更新來解決CVE-2021-1675和CVE-2021-34527漏洞,並在上週釋出了一份安全建議,其中包含了CVE-2021-36958(一個允許許可權升級的零日漏洞)的解決方案。
攻擊者可以濫用這組安全漏洞進行本地許可權提升 (LPE) 或透過具有系統許可權的遠端程式碼執行 (RCE) 以 Windows 域管理員的身份分發惡意軟體。
PrintNightmare新增到Vice Society的武器庫
最近,思科研究人員觀察到Vice Society 勒索軟體運營商部署惡意動態連結庫 (DLL) 來利用兩個PrintNightmare缺陷(CVE-2021-1675 和 CVE-2021-34527)。
Vice Society 勒索軟體(可能是HelloKitty的衍生產品)使用 OpenSSL(AES256 + secp256k1 + ECDSA)加密 Windows 和 Linux 系統,正如勒索軟體專家 Michael Gillespie在6月中旬發現的那樣,當時第一批樣本出現了。
Vice Society 團伙主要針對人為雙重勒索攻擊中的中小型受害者,尤其關注公立學區和其他教育機構。
Cisco Talos還列出了 Vice Society 最喜歡的策略、技術和程式 (TTP),包括刪除備份以防止受害者恢復加密系統以及繞過 Windows 保護以進行憑據盜竊和特權升級。
“他們很快就會利用新的漏洞在受害者的網路上進行橫向移動和持久化,”Cisco Talos說。
“他們還試圖在端點檢測響應繞過方面進行創新”和“運營一個資料洩漏站點,他們用它來發布從不選擇支付勒索要求的受害者那裡竊取的資料。”
PrintNightmare 被多個威脅參與者積極利用
coni和Magniber勒索軟體團伙也使用PrintNightmare漏洞來攻擊未打補丁的Windows伺服器。
今年6月中旬,Crowdstrike發現了Magniber試圖利用針對韓國受害者的攻擊中的Windows列印假離線漏洞。
自從第一次報告該漏洞和概念驗證漏洞被洩露以來,關於PrintNightmare漏洞開發的報告[1,2,3]就一直在緩慢地出現。
“多個不同的威脅行動者現在正在利用printnnightmare,只要它有效,這種漏洞利用攻擊可能會繼續增加,”思科塔洛斯補充說。
“被稱為PrintNightmare的漏洞的使用表明,對手正在密切關注,並會在攻擊期間迅速整合他們認為對各種目的有用的新工具。”
要防禦這些正在進行的攻擊,應該儘快應用任何可用的PrintNightmare補丁,並執行微軟為CVE-2021-36958零日提供的解決方案,以躲避攻擊向量。
資料顯示,90%的網路安全事件是由安全漏洞導致的,尤其在地下論壇裡很多舊的漏洞一直存在,這些漏洞被駭客利用的機率非常大。因此一方面要及時對出現的漏洞進行修正和打好補丁,另一方面,在軟體開發期間,不斷透過自動化漏洞檢測工具,如 靜態程式碼檢測、SCA等,可以有效發現並及時修正程式碼缺陷及執行時漏洞,有助於提高軟體安全性,減少系統安全漏洞的同時,增強網路抵禦駭客攻擊的能力。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
https://www.bleepingcomputer.com/news/security/vice-society-ransomware-joins-ongoing-printnightmare-attacks/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2787075/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 攻擊不斷!QNAP 警告利用0day漏洞Deadbolt 勒索軟體攻擊
- 警惕!Nas裝置正在受到Qlocker勒索軟體攻擊
- 2021年未修補漏洞利用為勒索軟體攻擊依賴主要切入點
- 勒索軟體攻擊影響
- 每日安全資訊:Weblogic 0day 漏洞正被攻擊者利用安裝勒索軟體Web
- 利用JSONP進行水坑攻擊JSON
- 勒索軟體攻擊正在演變 網路安全防禦策略也應該如此
- 印尼央行確認遭受勒索軟體攻擊
- Mandiant否認遭LockBit勒索軟體攻擊
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- 百足之蟲:GlobeImposter勒索病毒新手法,利用MSSQL爆破進行攻擊SQL
- 為什麼漏洞掃描程式不足以防止勒索軟體攻擊
- 勒索軟體攻擊的階段:從最初訪問到勒索
- 利用勒索軟體Locky的漏洞來免疫系統
- 如何知道是否有人正在進行網路攻擊
- 勒索軟體攻擊加倍 公司該如何準備?
- 挪威海德魯公司遭勒索軟體攻擊
- 如何防止勒索軟體攻擊造成嚴重影響
- 黑客是如何利用DNS域傳送漏洞進行滲透與攻擊的?黑客DNS
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 如何保護Windows網路免受勒索軟體攻擊Windows
- Microsoft釋出有關阻止勒索軟體攻擊的指南ROS
- 勒索軟體攻擊猖狂,教你如何正確防範~
- 勒索軟體利用 Windows 驅動程式漏洞關閉防病毒軟體Windows
- 荷蘭或將向勒索攻擊宣戰;蘋果 AirTag 存在儲存型XSS漏洞,恐被攻擊者利用蘋果AI
- Shutterfly遭Conti勒索軟體攻擊,部分服務中斷
- 西班牙國家研究委員會遭受勒索軟體攻擊
- 中國工商銀行遭勒索軟體攻擊,金融服務系統中斷
- 新生黑客組織整合三大勒索軟體,宣告不會攻擊特定行業黑客行業
- 微軟警告發現Office漏洞攻擊 正在歐洲地區肆虐微軟
- Check Point:單反相機已成為勒索軟體攻擊目標
- 大多數勒索軟體攻擊發生在夜間或週末
- 美媒:為什麼政府如此容易受到勒索軟體攻擊?
- 波音遭遇勒索軟體攻擊, WannaCry 成為最大懷疑物件物件
- 全球最大的保險巨頭AXA遭勒索軟體攻擊
- 您的企業能否在勒索軟體攻擊中倖存?
- 日經新聞亞洲總部遭勒索軟體攻擊
- 針對雲服務的勒索軟體攻擊的未來