Băng đảng mã độc tống tiền đang khai thác lỗ hổng Windows Print Spooler
Các nhà khai thác ransomware như Magniber và Vice Society đang tích cực khai thác các lỗ hổng trong Windows Print Spooler để xâm nhập nạn nhân và lây lan theo chiều ngang qua mạng của nạn nhân để triển khai các trọng tải mã hóa tệp trên các hệ thống được nhắm mục tiêu.
"Nhiều tác nhân đe dọa khác nhau coi lỗ hổng này là hấp dẫn để sử dụng trong các cuộc tấn công của họ và có thể chỉ ra rằng lỗ hổng này sẽ tiếp tục được nhiều đối thủ chấp nhận và kết hợp rộng rãi hơn trong tương lai", các chuyên gia bảo mật cho biết trong một báo cáo được công bố hôm thứ Năm, chứng thực cho một tổ chức độc lập. Họ đã quan sát các trường hợp lây nhiễm ransomware Magniber nhắm mục tiêu vào các thực thể ở Hàn Quốc.
Trong khi Magniber ransomware lần đầu tiên được phát hiện vào cuối năm 2017, tấn công các nạn nhân ở Hàn Quốc thông qua các chiến dịch quảng cáo độc hại, Vice Society là một đối tượng mới nổi lên trong bối cảnh ransomware vào giữa năm 2021, chủ yếu nhắm mục tiêu vào các khu học viện và các cơ sở giáo dục khác. Các cuộc tấn công được cho là đã diễn ra ít nhất từ ngày 13/7.
Kể từ tháng 6, một loạt sự cố "PrintNightmare" ảnh hưởng đến dịch vụ Windows Print Spooler của Windows đã được đưa ra ánh sáng có thể cho phép thực thi mã từ xa khi thành phần thực hiện các hoạt động tệp đặc quyền.
CVE-2021-1675 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Bản vá vào ngày 8 tháng 6)
CVE-2021-34527 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Đã vá vào ngày 6-7 tháng 7)
CVE-2021-34481 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Bản vá vào ngày 10 tháng 8)
CVE-2021-36936 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Bản vá vào ngày 10 tháng 8)
CVE-2021-36947 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Bản vá vào ngày 10 tháng 8)
CVE-2021-34483 - Windows Print Spooler nâng cao lỗ hổng đặc quyền (Bản vá vào ngày 10 tháng 8)
CVE-2021-36958 - Lỗ hổng thực thi mã từ xa của Windows Print Spooler (Chưa được vá)
Các chuyên gia bảo mật cho biết rằng họ đã có thể ngăn chặn thành công nỗ lực của băng nhóm ransomware Magniber nhằm khai thác lỗ hổng PrintNightmare.
Mặt khác, Vice Society đã tận dụng nhiều kỹ thuật khác nhau để tiến hành khám phá và trinh sát sau thỏa hiệp trước khi bỏ qua các biện pháp bảo vệ Windows để đánh cắp thông tin xác thực và leo thang đặc quyền.
Cụ thể, kẻ tấn công được cho là đã sử dụng một thư viện độc hại có liên quan đến lỗ hổng PrintNightmare (CVE-2021-34527) để xoay trục đến nhiều hệ thống trên toàn môi trường và trích xuất thông tin đăng nhập từ nạn nhân.
Các nhà nghiên cứu cho biết: “Những kẻ thù liên tục cải tiến cách tiếp cận của họ đối với vòng đời của cuộc tấn công ransomware khi chúng cố gắng hoạt động hiệu quả hơn, hiệu quả hơn và lẩn tránh hơn”. "Việc sử dụng lỗ hổng được gọi là PrintNightmare cho thấy rằng các đối thủ đang chú ý đến và sẽ nhanh chóng kết hợp các công cụ mới mà họ thấy hữu ích cho các mục đích khác nhau trong các cuộc tấn công của họ."
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
1 tiện ích Chrome nhiễm mã độc có 280 tr...
Không đảm bảo về bảo mật và kiểm duyệt, ...
Ứng dụng AI - DeepSeek bị hack và rò rỉ ...
Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...
Tính năng tìm kiếm mới trên Windows 11 g...
Lừa đảo quảng cáo độc hại sử dụng Quảng ...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Thông báo thời gian nghỉ lễ Tết Nguyên Đán Ất Tỵ 2...
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Hướng dẫn cách dùng DeepSeek dễ dàng với 3 bước
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
1 tiện ích Chrome nhiễm mã độc có 280 triệu lượt t...
-
Không đảm bảo về bảo mật và kiểm duyệt, sao chatbo...
-
Khai Xuân Phú Quý, Bóc Lì Xì Vui
-
Có nên cài đặt chế độ nền tối Dark Mode cho điện t...
-
Ứng dụng AI - DeepSeek bị hack và rò rỉ dữ liệu ng...
-
Router Wi-Fi hiệu TP-Link có thể bị Mỹ cấm cửa vì ...
TAGS
LIÊN HỆ
