CiscoTalos威胁情报研究团队在一份新报告中指出:微软的PrintNightmare安全漏洞现在正被一个名为ViceSociety的勒索软件团伙利用。近期,Talos团队一直在密切关注攻击者使用PrintSpooler服务的安全风险。不幸的是,尽管微软花了几个月的时间修复错误,但最终的结果却相当有限。如图所示,ViceSociety向受害者索要赎金,否则就会通过其网站泄露被盗数据。Talos的一项调查发现,ViceSociety与前HelloKitty勒索软件组织有关联,目前正在使用与PrintNightmarePrintSpooler漏洞相关的动态链接库(DLL)文件向易受攻击的系统注入勒索软件。Talos还观察到ViceSociety黑客在实施攻击时使用的一些策略、技术和程序(统称为TTP):例如在入侵期间使用ProxyChains将网络流量转移到其他地方。攻击ESXi虚拟服务器和数据备份,使整个系统容易受到勒索软件感染而无法恢复。为了避免被端点安全解决方案检测到,威胁参与者还绕过反恶意软件接口(AMSI)。
