Cisco: PrintNightmare, "Vice Society" Tarafından Fidye Yazılımı Enjekte Etmek İçin Kullanılıyor
Cisco'nun Talos tehdit istihbarat araştırma ekibi tarafından hazırlanan bir rapora göre, Microsoft'un PrintNightmare güvenlik açığı şu anda Vice Society adlı bir fidye yazılımı grubu tarafından kullanılıyor. Talos grubu, Vice ekibinin, Microsoft'un birkaç aydır düzeltmeye ve sona erdirmeye çalıştığı Yazdırma Biriktiricisi hizmeti güvenlik sorununu kullanma biçimini gözlemliyor, ancak biraz sınırlı bir başarı ile.
Görünüşe göre, Talos'un bulgularına göre, daha önce HelloKitty fidye yazılımı grubuyla bağlantılı olan Vice Society, savunmasız sistemlere fidye yazılımı bulaştırmak için devam eden PrintNightmare Yazdırma Biriktiricisi hatasıyla ilişkili bir dinamik bağlantı kitaplığı (DLL) dosyası kullanıyor. Bu DLL'nin adı: 6f191f598589b7708b1890d56b374b45c6eb41610d34f976f0b4cfde8d5731af - bu oldukça ağız dolusu.
Vice Society kurbanlarından fidye talep ediyor ve fidye karşılanmazsa çalınan verileri işlettiği bir web sitesi aracılığıyla sızdırmakla tehdit ediyor. Aşağıda, veri sızıntısı sitesinin nasıl göründüğünün bir ekran görüntüsü verilmiştir:
Talos ayrıca Vice Society'deki tehdit aktörlerinin istismarları gerçekleştirmek için kullandıkları bazı taktikleri, teknikleri ve prosedürleri (TTP'ler) gözlemledi.
Bunlar, istila sırasında ağ trafiğini başka bir yere yönlendirmek için ProxyChains kullanımını ve tüm sistemi fidye yazılımı enfeksiyonuna karşı savunmasız hale getirmek ve kurtarmayı önlemek için ESXi sanal sunucularına ve veri yedeklerine saldırmayı içerir. Uç nokta güvenlik çözümleri tarafından algılanmayı önlemek için tehdit aktörleri bir Kötü Amaçlı Yazılımdan Koruma Yazılım Arayüzü (AMSI) atlaması gerçekleştirir. Daha fazla teknik ayrıntıyı buradaki resmi blogda bulabilirsiniz.