Magniber 랜섬웨어, 윈도우 서버 감염에 PrintNightmare 취약점 악용해

 

 

Magniber Ransomware operators use PrintNightmare exploits to infect Windows servers

 

Magniber 랜섬웨어 운영자가 윈도우 서버 감염에 PrintNightmare 취약점(CVE-2021-1675, CVE-2021-34527, CVE-2021-36958)을 악용하고 있는 것으로 나타났습니다.

 

PrintNightmare 취약점은 윈도우 프린트 스풀러 서비스, 프린트 드라이버, ‘Windows Point and Print’ 기능에 존재합니다.

 

마이크로소프트는 윈도우 프린트 스풀러의 컴포넌트에 존재하는 원격 코드 실행 제로데이 취약점인 CVE-2021-36958에 대해 경고하는 보안 권고를 발표했습니다.

 

로컬 공격자는 이 취약점을 악용해 취약한 시스템에 대한 권한을 얻을 수 있습니다.

 

마이크로소프트는 이 문제를 해결하는 유일한 방법이 프린트 스풀러 서비스를 비활성화하는 것이라고 말했습니다.

 

마이크로소프트는 PrintNightmare 취약점을 해결하기 위해 기본 Point and Print 동작에 동일한 변경 사항을 구현했습니다.

 

관리자가 아닌 사용자는 권한 상승 없이 더 이상 Point and Print를 통해 아래 행동을 수행할 수 없게 됩니다.

 

- 원격 컴퓨터 또는 서버의 드라이버를 사용한 새 프린터 설치

- 원격 컴퓨터 또는 서버의 드라이버를 사용한 기존 프린터 드라이버 업데이트

 

CrowdStrike는 2017년부터 활동을 시작한 Magniber 랜섬웨어와 관련된 악성 활동을 최근 발견했습니다. 공격자는 최근 발생한 공격에서 한국의 피해자가 소유한 시스템에서 PrintNighmare 취약점을 악용했습니다.

 

Magniber 공격자는 PrintNightmare 취약점을 악용해 서버를 해킹한 후, 난독화된 DLL 로더를 프로세스에 주입하고, DLL 로더의 압축을 풀어 감염된 시스템에서 로컬 파일 탐색 및 암호화를 수행했습니다.

 

랜섬웨어는 운영자에 대한 아무런 정보를 공개하지 않았으며, 협상을 위해 연락할 수 있는 지침만을 제공합니다.

 

Magniber의 활동은 지난 30일 동안 급증했으며 ID Ransomware 플랫폼에서는 600건 이상 보고되었습니다.

 

연구원들은 다른 랜섬웨어 운영자들 또한 작전에 PrintNightmare 익스플로잇을 사용할 것이라고 추측했습니다.

 

이에 조직은 항상 최신 패치와 보안 업데이트를 적용해 보안 태세를 강화할 것을 권장합니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/121076/malware/magniber-ransomware-printnightmare-exploits.html

https://www.crowdstrike.com/blog/magniber-ransomware-caught-using-printnightmare-vulnerability/