勒索软件团伙积极利用 Windows Print Spooler 系列漏洞

诸如 Magniber 和 Vice Society 等勒索软件运营商正在积极利用 Windows Print Spooler 中的漏洞来危害受害者，并在受害者的网络中横向传播，以在目标系统上部署文件加密有效负载。

“多，不同的威胁者查看此漏洞的吸引力在他们的攻击使用，并且可以表明此漏洞将继续看到各种对手更广泛地采用，并纳入前进，”思科塔洛斯说在周四发表的一份报告，证实了一个独立来自 CrowdStrike 的分析，该分析观察到针对韩国实体的 Magniber 勒索软件感染实例。

虽然 Magniber 勒索软件于 2017 年底通过恶意广告活动首次发现韩国的受害者，但 Vice Society 是一个新进入者，于 2021 年年中出现在勒索软件领域，主要针对公立学区和其他教育机构。据说这些袭击至少发生在 7 月 13 日。

自 6 月以来，一系列影响 Windows 打印后台处理程序服务的“PrintNightmare”问题已经曝光，当组件执行特权文件操作时，这些问题可能会启用远程代码执行 –

• CVE-2021-1675 – Windows Print Spooler 远程代码执行漏洞（6 月 8 日修补）
• CVE-2021-34527 – Windows Print Spooler 远程代码执行漏洞（7 月 6 日至 7 日修补）
• CVE-2021-34481 – Windows Print Spooler 远程代码执行漏洞（8 月 10 日修补）
• CVE-2021-36936 – Windows Print Spooler 远程代码执行漏洞（8 月 10 日修补）
• CVE-2021-36947 – Windows Print Spooler 远程代码执行漏洞（8 月 10 日修补）
• CVE-2021-34483 – Windows Print Spooler 特权提升漏洞（8 月 10 日修补）
• CVE-2021-36958 – Windows Print Spooler 远程代码执行漏洞（未修补）

CrowdStrike 指出，它能够成功阻止 Magniber 勒索软件团伙利用 PrintNightmare 漏洞的企图。

另一方面，Vice Society 在绕过本机 Windows 保护以进行凭据盗窃和特权升级之前，利用各种技术进行妥协后发现和侦察。

具体来说，攻击者被认为使用了与 PrintNightmare 缺陷 (CVE-2021-34527) 相关的恶意库来转移到环境中的多个系统并从受害者那里提取凭据。

研究人员说：“攻击者在努力更有效、更高效和更规避地运行时，不断改进他们对勒索软件攻击生命周期的方法。” “使用被称为 PrintNightmare 的漏洞表明，攻击者正在密切关注，并将迅速整合他们认为在攻击期间对各种目的有用的新工具。”