利用Windows打印后台处理程序漏洞的勒索软件团伙

Magniber和Vice Society等勒索软件运营商正在积极利用Windows打印后台处理程序中的漏洞来危害受害者，并在受害者的网络中横向传播，以便在目标系统上部署文件加密有效载荷。

Cisco Talos在周四发布的一份报告中表示：“多个不同的威胁参与者认为，该漏洞在他们的攻击中具有吸引力，并可能表明，该漏洞将继续被各种对手广泛采用和合并。”该报告证实了CrowdStrike的一项独立分析，它观察到了针对韩国实体的Magniber勒索软件感染案例。

虽然Magniber勒索软件在2017年末首次被发现，通过恶意宣传活动挑出韩国的受害者，但Vice Society是一个新进入者，于2021年年中出现在勒索软件领域，主要针对公立学区和其他教育机构。据说袭击至少发生在7月13日。

自6月以来，一系列影响Windows打印后台处理程序服务的“打印噩梦”问题浮出水面，当组件执行特权文件操作时，可能会启用远程代码执行-

• CVE-2021-1675-Windows打印后台处理程序远程代码执行漏洞（6月8日修补）
• CVE-2021-34527-Windows打印后台处理程序远程代码执行漏洞（7月6日至7日修补）
• CVE-2021-34481-Windows打印后台处理程序远程代码执行漏洞（8月10日修补）
• CVE-2021-36936-Windows打印后台处理程序远程代码执行漏洞（8月10日修补）
• CVE-2021-36947-Windows打印后台处理程序远程代码执行漏洞（8月10日修补）
• CVE-2021-34483-Windows打印后台处理程序权限提升漏洞（8月10日修补）
• CVE-2021-36958-Windows打印后台处理程序远程代码执行漏洞（未修补）

CrowdStrike指出，它能够成功阻止Magniber勒索软件团伙利用PrintDream漏洞的企图。

另一方面，Vice Society在绕过本机Windows保护进行凭证盗窃和权限升级之前，利用各种技术进行泄露后发现和侦察。

具体而言，攻击者被认为使用了与PrintMonthrame漏洞（CVE-2021-34527）相关的恶意库，以在整个环境中转向多个系统，并从受害者那里提取凭据。

研究人员说：“随着对手努力更有效、更高效、更具规避性地进行操作，他们正在不断改进勒索软件攻击生命周期的方法。”。“被称为Print噩梦的漏洞的使用表明，对手正在密切关注，并将很快加入新的工具，这些工具在他们的攻击中对各种目的都有用。”