انتشار باج‌افزار با سوء‌استفاده از PrintNightmare

121

انتشار باج‌افزار با سوء‌استفاده از PrintNightmare

مهاجمان با سوء‌استفاده از باج افزار PrintNightmare، در حال آلوده‌سازی دستگاه‌ها به باج‌افزار Magniber هستند.

مهاجمان با سوء‌استفاده از باج افزار PrintNightmare، در حال آلوده‌سازی دستگاه‌ها به باج‌افزار Magniber هستند.

در این گزارش روابط عمومی آدفا و به نقل از افتا ریاست جمهوری، به روش جدید انتشار این باج‌افزار PrintNightmare پرداخته شده است.

PrintNightmare به مجموعه‌ای از آسیب‌پذیری‌های امنیتی (با شناسه‌های CVE-2021-1675،و CVE-2021-34527 و CVE-2021-36958) اطلاق می‌شود که سرویس Windows Print Spooler، راه‌اندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متاثر می‌شوند.

مایکروسافت به‌روز‌رسانی‌های امنیتی را برای آسیب‌پذیری‌ها با شناسه‌های CVE-2021-1675 و CVE-2021-34527 در ماه‌های ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت همچنین با انتشار توصیه‌نامه‌ زیر، راهکاری برای ترمیم آسیب‌پذیری CVE-2021-36958 نیز ارائه داده است.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

CVE-2021-36958 یک ضعف امنیتی روز-صفر است که امکان ترفیع سطح دسترسی را برای مهاجم فراهم می‌کند.

مهاجم می‌تواند از این نقص‌های امنیتی در جهت ترفیع سطح دسترسی محلی (LPE) استفاده کرده یا بدافزارهایی را بصورت از راه دور با سطح دسترسی SYSTEM در سطح دامنه توزیع کند.

مطالعه بیشتر: اصلاحیه‌های امنیتی ادوبی برای ماه میلادی آگوست 2021

باج افزار PrintNightmare

همانطور که ماه گذشته محققان کراوداسترایک (CrowdStrike Holdings, Inc) اعلام کردند، گروه باج‌افزاری Magniber از PrintNightmare برای هدف قرار دادن قربانیان در کره جنوبی استفاده می‌کنند.

Magniber پس از آلوده‌سازی سرورهای آسیب‌پذیر به PrintNightmare، یک فایل DLL مبهم‌سازی شده را دریافت و پس از تزریق آن در یک پروسه، فایل‌های موجود در دستگاه را شناسایی و سپس آن‌ها را رمزگذاری می‌کند.

در اوایل فوریه ۲۰۲۱ نیز در جریان انتشار این باج‌افزار، Magniber از طریق Magnitude Exploit Kit اقدام به سوءاستفاده از آسیب‌پذیری CVE-2020-0968 در Internet Explorer بر روی دستگاه‌های کاربران کره جنوبی کرده بود.

این باج‌افزار در ابتدا، قربانیان خود را در کره جنوبی مورد هدف قرار داده بود، اما بعداً حملات خود را در سراسر جهان گسترش داده و اهداف خود را به کشورهای دیگری از جمله چین، تایوان، هنگ کنگ، سنگاپور، مالزی و دیگر کشورها تغییر داد.

مطالعه بیشتر:گزارش اصلاحیه امنیتی آسیب‌پذیری‌ مایکروسافت در ماه آگوست 2021

Magniber به طور چشمگیری در ۳۰ روز گذشته فعال بوده و تقریباً ۶۰۰ بار در سایت ID Ransomware به نشانی https://id-ransomware.malwarehunterteam.com ارسال شده است.

در حال حاضر، شواهد موجود حاکی از آن است که گروه باج‌افزاری Magniber تنها با سوء‌استفاده از ضعف امنیتی PrintNightmare قربانیان را به طور گسترده مورد هدف قرار داده است. احتمال داده می‌شود به‌زودی مهاجمان دیگری نیز از آسیب‌پذیری PrintNightmare برای انتشار کد باج‌افزار خود سوء‌استفاده خواهند کرد.

مشاوره رایگان امنیت

به منظور ایمن ماندن از این حملات، توصیه می‌شود راهبران در اسرع وقت اقدام به نصب اصلاحیه‌های مربوطه کنند و راهکارهای ارائه شده از سوی شرکت مایکروسافت را در دستور کار قرار دهند.

همچنین برخی محققان توصیه کرده‌اند، سرویس Windows Print Spooler بر سرورهایی که از آنها برای چاپ استفاده نمی‌شود غیرفعال شود.

با تشکر از گروه مهندسی شبکه

پاسخی بگذارید

آدرس ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *