思科 Talos 威脅情報研究團隊在一份新報告中指出:微軟的 PrintNightmare 安全漏洞,現正被一個名為 Vice Society 的勒索軟件團伙所利用。近段時間,Talos 團隊一直在密切留意攻擊者在利用 Print Spooler 服務的安全隱患。遺憾的是,儘管微軟在漏洞修復上耗費了數月的時間,最終取得的成果仍相當有限。
如圖所示,Vice Society 會向受害者索要贖金,否則就會通過其網站泄露被盜的數據。
Talos 調查發現:
Vice Society 與之前的 HelloKitty 勒索軟件組織有關聯,且目前正在利用 PrintNightmare Print Spooler 漏洞相關的動態鏈接庫 (DLL) 文件注入勒索軟件,來攻擊那些易受感染的系統。
Talos 還觀察到了 Vice Society 黑客用於執行攻擊的一些策略、技術和程序(統稱 TTP):
● 比如在入侵期間使用 ProxyChains 將網絡流量轉移到其它地方。
● 攻擊 ESXi 虛擬服務器和數據備份,讓整個系統容易受勒索軟件感染阻止恢復。
● 為了避免被端點安全解決方案檢測到,威脅行為者還會繞過反惡意軟件軟件接口(AMSI)。
感興趣的朋友,可移步至 Talos 官方博客以了解更多技術細節。