Vice Society利用PrintNightmare漏洞来勒索攻击

思科Talos安全研究团队日前发现一个名为Vice Society的勒索软件团伙利用微软的PrintNightmare安全漏洞发动攻击。

据悉， 该勒索软件可能是HelloKitty的衍生品，该犯罪团伙主要勒索攻击目标是一些公立学校或其他中小型教育机构。

Vice Society勒索团队会直接向受害者索取赎金，如果受害者拒绝缴纳赎金，就会通过其网站将泄露的数据公诸与众。

而且，黑客团队还在不断的更新自己的技术手段以绕过端点检测，据悉并专门维护了一个用户公布泄露数据的网站。

而PrintNightmare是一组近期披露的安全漏洞，漏洞编号为CVE-2021-1675、CVE-2021-34527和CVE-2021-36958。

该漏洞主要影响的对象包括Windows Print Spooler服务、Windows打印驱动程序以及Windows Point and Print特征。

黑客利用这组漏洞本地提权(LPE)或通过具系统权限的远程代码执行 (RCE) 以Windows域管理员身份分发恶意软件。

而微软已经在今年六、七、八月已发布安全更新着力修复上述安全漏洞，不过目前来看，所取得的成果仍相当有限。

目前，Talos团队近期正密切留意攻击者在利用Print Spooler服务的安全隐患，监控显示漏洞被多个攻击者积极利用。

据悉，不仅Vice Society黑客团伙将该安全漏洞加入其武器库，并部署恶意动态链接库 (DLL)对该安全漏洞加以利用。

孔蒂和Magniber勒索团伙也在利用PrintNightmare安全漏洞，攻击那些至今还未能及时安装补丁的Windows服务器。

今年六月中旬时，Crowdstrike安全团队就检测到了Magniber勒索团队正试图利用这组安全漏洞来攻击韩国的受害者。

由此可见，自从首次报告并泄露概念验证漏洞以来，已有诸多黑客团伙正在利用并且持续整合用于攻击的黑客工具。

为了避免遭遇利用该漏洞而出现的勒索攻击，最行之有效的方案就是及时打好系统补丁、做好数据备份和安全防护。