Операторы вымогательского ПО уже эксплуатируют уязвимости PrintNightmare в атаках

Вымогатели добавили в свой арсенал уязвимости PrintNightmare и теперь атакуют Windows-серверы с целью развертывания на них вымогательского ПО Magniber.

PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.

CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 (уязвимость локального повышения привилегий, не исправленная Microsoft).

С помощью этих уязвимостей злоумышленники могут локально повысить свои привилегии и распространять вымогательское ПО в качестве администратора домена Windows путем удаленного выполнения кода с привилегиями системы.

Как обнаружили исследователи из CrowdStrike, операторы вымогательского ПО Magniber теперь эксплуатируют уязвимости PrintNightmare в атаках на жертв в Южной Корее. В частности, 13 июля специалистам CrowdStrike успешно удалось выявить и предотвратить попытки эксплуатации уязвимостей и тем самым не позволить вымогателям зашифровать данные.

Скомпрометировав сервер с неисправленными уязвимостями PrintNightmare, операторы Magniber устанавливают обфусцированный загрузчик DLL, который сначала внедряется в процесс, а затем распаковывается для обхода локальных файлов и шифрования данных на скомпрометированном устройстве.

В феврале 2021 года исследователи CrowdStrike зафиксировали, что вымогательское ПО Magniber доставлялось на атакуемые системы с помощью набора эксплоитов Magnitude EK. Вредонос устанавливался на системы жертв в Южной Корее через уязвимость CVE-2020-0968 в Internet Explorer.

Вымогательское ПО Magniber используется с октября 2017 года. Хотя изначально вредонос атаковал только системы в Южной Корее, вскоре он распространился на Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие страны.

Пока что Magniber – единственная группировка, использующая PrintNightmare в своих атаках. Однако вскоре эксперты прогнозируют появление PoC-эксплоитов, которыми наверняка вооружатся и другие киберпреступные группировки.