Операторы вымогательского ПО уже эксплуатируют уязвимости PrintNightmare в атаках
Вымогатели добавили в свой арсенал уязвимости PrintNightmare и теперь атакуют Windows-серверы с целью развертывания на них вымогательского ПО Magniber.
PrintNightmare – класс уязвимостей (CVE-2021-1675, CVE-2021-34527 и CVE-2021-36958) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.
CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 (уязвимость локального повышения привилегий, не исправленная Microsoft).
С помощью этих уязвимостей злоумышленники могут локально повысить свои привилегии и распространять вымогательское ПО в качестве администратора домена Windows путем удаленного выполнения кода с привилегиями системы.
Как обнаружили исследователи из CrowdStrike, операторы вымогательского ПО Magniber теперь эксплуатируют уязвимости PrintNightmare в атаках на жертв в Южной Корее. В частности, 13 июля специалистам CrowdStrike успешно удалось выявить и предотвратить попытки эксплуатации уязвимостей и тем самым не позволить вымогателям зашифровать данные.
Скомпрометировав сервер с неисправленными уязвимостями PrintNightmare, операторы Magniber устанавливают обфусцированный загрузчик DLL, который сначала внедряется в процесс, а затем распаковывается для обхода локальных файлов и шифрования данных на скомпрометированном устройстве.
В феврале 2021 года исследователи CrowdStrike зафиксировали, что вымогательское ПО Magniber доставлялось на атакуемые системы с помощью набора эксплоитов Magnitude EK. Вредонос устанавливался на системы жертв в Южной Корее через уязвимость CVE-2020-0968 в Internet Explorer.
Вымогательское ПО Magniber используется с октября 2017 года. Хотя изначально вредонос атаковал только системы в Южной Корее, вскоре он распространился на Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие страны.
Пока что Magniber – единственная группировка, использующая PrintNightmare в своих атаках. Однако вскоре эксперты прогнозируют появление PoC-эксплоитов, которыми наверняка вооружаться и другие киберпреступные группировки.