Vice Society 勒索軟體正在利用PrintNightmare漏洞進行攻擊

Vice Society勒索軟體團伙現在也在積極利用Windows列印假離線程式PrintNightmare的漏洞，透過受害者的網路進行橫向移動。

PrintNightmare是一組最近披露的安全漏洞(跟蹤為CVE-2021-1675、CVE-2021-34527和CVE-2021-36958)，發現它們會影響 Windows Print Spooler 服務、Windows 列印驅動程式和 Windows Point and Print列印功能。

微軟已經在6月、7月和8月釋出了安全更新來解決CVE-2021-1675和CVE-2021-34527漏洞，並在上週釋出了一份安全建議，其中包含了CVE-2021-36958(一個允許許可權升級的零日漏洞)的解決方案。

攻擊者可以濫用這組安全漏洞進行本地許可權提升 (LPE) 或透過具有系統許可權的遠端程式碼執行 (RCE) 以 Windows 域管理員的身份分發惡意軟體。

PrintNightmare新增到Vice Society的武器庫

最近，思科研究人員觀察到Vice Society 勒索軟體運營商部署惡意動態連結庫 (DLL) 來利用兩個PrintNightmare缺陷(CVE-2021-1675 和 CVE-2021-34527)。

Vice Society 勒索軟體(可能是HelloKitty的衍生產品)使用 OpenSSL(AES256 + secp256k1 + ECDSA)加密 Windows 和 Linux 系統，正如勒索軟體專家 Michael Gillespie在6月中旬發現的那樣，當時第一批樣本出現了。

Vice Society 團伙主要針對人為雙重勒索攻擊中的中小型受害者，尤其關注公立學區和其他教育機構。

Cisco Talos還列出了 Vice Society 最喜歡的策略、技術和程式 (TTP)，包括刪除備份以防止受害者恢復加密系統以及繞過 Windows 保護以進行憑據盜竊和特權升級。

“他們很快就會利用新的漏洞在受害者的網路上進行橫向移動和持久化，”Cisco Talos說。

“他們還試圖在端點檢測響應繞過方面進行創新”和“運營一個資料洩漏站點，他們用它來發布從不選擇支付勒索要求的受害者那裡竊取的資料。”

PrintNightmare 被多個威脅參與者積極利用

coni和Magniber勒索軟體團伙也使用PrintNightmare漏洞來攻擊未打補丁的Windows伺服器。

今年6月中旬，Crowdstrike發現了Magniber試圖利用針對韓國受害者的攻擊中的Windows列印假離線漏洞。

自從第一次報告該漏洞和概念驗證漏洞被洩露以來，關於PrintNightmare漏洞開發的報告[1,2,3]就一直在緩慢地出現。

“多個不同的威脅行動者現在正在利用printnnightmare，只要它有效，這種漏洞利用攻擊可能會繼續增加，”思科塔洛斯補充說。

“被稱為PrintNightmare的漏洞的使用表明，對手正在密切關注，並會在攻擊期間迅速整合他們認為對各種目的有用的新工具。”

要防禦這些正在進行的攻擊，應該儘快應用任何可用的PrintNightmare補丁，並執行微軟為CVE-2021-36958零日提供的解決方案，以躲避攻擊向量。

資料顯示，90%的網路安全事件是由安全漏洞導致的，尤其在地下論壇裡很多舊的漏洞一直存在，這些漏洞被駭客利用的機率非常大。因此一方面要及時對出現的漏洞進行修正和打好補丁，另一方面，在軟體開發期間，不斷透過自動化漏洞檢測工具，如 靜態程式碼檢測、SCA等，可以有效發現並及時修正程式碼缺陷及執行時漏洞，有助於提高軟體安全性，減少系統安全漏洞的同時，增強網路抵禦駭客攻擊的能力。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

https://www.bleepingcomputer.com/news/security/vice-society-ransomware-joins-ongoing-printnightmare-attacks/