勒索软件团伙积极利用 Windows Print Spooler 系列漏洞

Ransomware团伙利用Windows打印假脱机漏洞

诸如 Magniber 和 Vice Society 等勒索软件运营商正在积极利用 Windows Print Spooler 中的漏洞来危害受害者,并在受害者的网络中横向传播,以在目标系统上部署文件加密有效负载。

“多,不同的威胁者查看此漏洞的吸引力在他们的攻击使用,并且可以表明此漏洞将继续看到各种对手更广泛地采用,并纳入前进,”思科塔洛斯在周四发表的一份报告,证实了一个独立来自 CrowdStrike 的分析,该分析观察到针对韩国实体的 Magniber 勒索软件感染实例。

虽然 Magniber 勒索软件于 2017 年底通过恶意广告活动首次发现韩国的受害者,但 Vice Society 是一个新进入者,于 2021 年年中出现在勒索软件领域,主要针对公立学区和其他教育机构。据说这些袭击至少发生在 7 月 13 日。

自 6 月以来,一系列影响 Windows 打印后台处理程序服务的“PrintNightmare”问题已经曝光,当组件执行特权文件操作时,这些问题可能会启用远程代码执行 –

  • CVE-2021-1675 – Windows Print Spooler 远程代码执行漏洞(6 月 8 日修补)
  • CVE-2021-34527 – Windows Print Spooler 远程代码执行漏洞(7 月 6 日至 7 日修补)
  • CVE-2021-34481 – Windows Print Spooler 远程代码执行漏洞(8 月 10 日修补)
  • CVE-2021-36936 – Windows Print Spooler 远程代码执行漏洞(8 月 10 日修补)
  • CVE-2021-36947 – Windows Print Spooler 远程代码执行漏洞(8 月 10 日修补)
  • CVE-2021-34483 – Windows Print Spooler 特权提升漏洞(8 月 10 日修补)
  • CVE-2021-36958 – Windows Print Spooler 远程代码执行漏洞(未修补)

CrowdStrike 指出,它能够成功阻止 Magniber 勒索软件团伙利用 PrintNightmare 漏洞的企图。

另一方面,Vice Society 在绕过本机 Windows 保护以进行凭据盗窃和特权升级之前,利用各种技术进行妥协后发现和侦察。

Ransomware团伙利用Windows打印假脱机漏洞

具体来说,攻击者被认为使用了与 PrintNightmare 缺陷 (CVE-2021-34527) 相关的恶意库来转移到环境中的多个系统并从受害者那里提取凭据。

研究人员说:“攻击者在努力更有效、更高效和更规避地运行时,不断改进他们对勒索软件攻击生命周期的方法。” “使用被称为 PrintNightmare 的漏洞表明,攻击者正在密切关注,并将迅速整合他们认为在攻击期间对各种目的有用的新工具。”

 

勒索软件团伙积极利用 Windows Print Spooler 系列漏洞

极牛网精选文章《勒索软件团伙积极利用 Windows Print Spooler 系列漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15859.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年8月13日 上午11:14
下一篇 2021年8月13日 下午8:59

相关推荐

发表评论

登录后才能评论