Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Операторы вымогательского ПО уже эксплуатируют уязвимости PrintNightmare в атаках (http://txgate.io:443/showthread.php?t=14211)

Artifact 01-09-2025 07:07 AM

В прошлом месяце были зафиксированы попытки операторов вымогательского ПО Magniber использовать PrintNightmare.
https://www.securitylab.ru/upload/ib...97554b4738.jpg
Вымогатели добавили в свой арсенал уязвимости PrintNightmare и теперь атакуют Windows-серверы с целью развертывания на них вымогательского ПО Magniber.
PrintNightmare – класс уязвимостей ( CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958 ) в диспетчере печати Windows Print Spooler, драйверах Windows и функции Windows Point and Print.
CVE-2021-1675 и CVE-2021-34527 были исправлены Microsoft в июне, июле и августе нынешнего года. В среду, 11 августа, компания также опубликовала уведомление безопасности о CVE-2021-36958 (уязвимость локального повышения привилегий, не исправленная Microsoft).
С помощью этих уязвимостей злоумышленники могут локально повысить свои привилегии и распространять вымогательское ПО в качестве администратора домена Windows путем удаленного выполнения кода с привилегиями системы.
Как обнаружили исследователи из CrowdStrike, операторы вымогательского ПО Magniber теперь эксплуатируют уязвимости PrintNightmare в атаках на жертв в Южной Корее. В частности, 13 июля специалистам CrowdStrike успешно удалось выявить и предотвратить попытки эксплуатации уязвимостей и тем самым не позволить вымогателям зашифровать данные.
Скомпрометировав сервер с неисправленными уязвимостями PrintNightmare, операторы Magniber устанавливают обфусцированный загрузчик DLL, который сначала внедряется в процесс, а затем распаковывается для обхода локальных файлов и шифрования данных на скомпрометированном устройстве.
В феврале 2021 года исследователи CrowdStrike зафиксировали, что вымогательское ПО Magniber доставлялось на атакуемые системы с помощью набора эксплоитов Magnitude EK. Вредонос устанавливался на системы жертв в Южной Корее через уязвимость CVE-2020-0968 в Internet Explorer.
Вымогательское ПО Magniber используется с октября 2017 года. Хотя изначально вредонос атаковал только системы в Южной Корее, вскоре он распространился на Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие страны.
Пока что Magniber – единственная группировка, использующая PrintNightmare в своих атаках. Однако вскоре эксперты прогнозируют появление PoC-эксплоитов, которыми наверняка вооружаться и другие киберпреступные группировки.


All times are GMT. The time now is 11:12 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.