انتشار باج‌افزار با سوء‌استفاده از PrintNightmare

مهاجمان با سوء‌استفاده از PrintNightmare، در حال آلوده‌سازی دستگاه‌ها به باج‌افزار Magniber هستند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، به روش جدید انتشار این باج‌افزار پرداخته شده است.

PrintNightmare به مجموعه‌ای از آسیب‌پذیری‌های امنیتی (با شناسه‌های CVE-2021-1675،و CVE-2021-34527 و CVE-2021-36958) اطلاق می‌شود که سرویس Windows Print Spooler، راه‌اندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متاثر می‌شوند.

مایکروسافت به‌روز‌رسانی‌های امنیتی را برای آسیب‌پذیری‌ها با شناسه‌های CVE-2021-1675 و CVE-2021-34527 در ماه‌های ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت همچنین با انتشار توصیه‌نامه‌ زیر، راهکاری برای ترمیم آسیب‌پذیری CVE-2021-36958 نیز ارائه داده است.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

CVE-2021-36958 یک ضعف امنیتی روز-صفر است که امکان ترفیع سطح دسترسی را برای مهاجم فراهم می‌کند.

مهاجم می‌تواند از این نقص‌های امنیتی در جهت ترفیع سطح دسترسی محلی (LPE) استفاده کرده یا بدافزارهایی را بصورت از راه دور با سطح دسترسی SYSTEM در سطح دامنه توزیع کند.

همانطور که ماه گذشته محققان کراوداسترایک (CrowdStrike Holdings, Inc) اعلام کردند، گروه باج‌افزاری Magniber از PrintNightmare برای هدف قرار دادن قربانیان در کره جنوبی استفاده می‌کنند.

Magniber پس از آلوده‌سازی سرورهای آسیب‌پذیر به PrintNightmare، یک فایل DLL مبهم‌سازی شده را دریافت و پس از تزریق آن در یک پروسه، فایل‌های موجود در دستگاه را شناسایی و سپس آن‌ها را رمزگذاری می‌کند.

در اوایل فوریه 2021 نیز در جریان انتشار این باج‌افزار، Magniber از طریق Magnitude Exploit Kit اقدام به سوءاستفاده از آسیب‌پذیری CVE-2020-0968 در Internet Explorer بر روی دستگاه‌های کاربران کره جنوبی کرده بود.

این باج‌افزار در ابتدا، قربانیان خود را در کره جنوبی مورد هدف قرار داده بود، اما بعداً حملات خود را در سراسر جهان گسترش داده و اهداف خود را به کشورهای دیگری از جمله چین، تایوان، هنگ کنگ، سنگاپور، مالزی و دیگر کشورها تغییر داد.

Magniber به طور چشمگیری در 30 روز گذشته فعال بوده و تقریباً 600 بار در سایت ID Ransomware به نشانی https://id-ransomware.malwarehunterteam.com ارسال شده است.

در حال حاضر، شواهد موجود حاکی از آن است که گروه باج‌افزاری Magniber تنها با سوء‌استفاده از ضعف امنیتی PrintNightmare قربانیان را به طور گسترده مورد هدف قرار داده است. احتمال داده می‌شود به‌زودی مهاجمان دیگری نیز از آسیب‌پذیری PrintNightmare برای انتشار کد باج‌افزار خود سوء‌استفاده خواهند کرد.

به منظور ایمن ماندن از این حملات، توصیه می‌شود راهبران در اسرع وقت اقدام به نصب اصلاحیه‌های مربوطه کنند و راهکارهای ارائه شده از سوی شرکت مایکروسافت را در دستور کار قرار دهند.

همچنین برخی محققان توصیه کرده‌اند، سرویس Windows Print Spooler بر سرورهایی که از آنها برای چاپ استفاده نمی‌شود غیرفعال شود.