jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » PubPrn

PubPrn

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

PubPrn

Descripción de la Tecnica

PubPrn es un patrón de ataque asociado a MITRE ATT&CK que permite a los adversarios ejecutar archivos maliciosos remotos mediante el uso de una impresora en Active Directory Domain Services (AD DS). La técnica utiliza PubPrn.vbs, un script de Visual Basic firmado por Microsoft, que publica una impresora en el dominio. Este script se ejecuta comúnmente a través del Windows Command Shell utilizando Cscript.exe.

Como Funciona

La técnica funciona al publicar una impresora en el dominio de Active Directory, lo que permite a los atacantes explotar vulnerabilidades relacionadas con la impresión. El script PubPrn.vbs se ejecuta para crear una impresora accesible desde sistemas remotos, facilitando la ejecución de código malicioso mediante el uso de esta infraestructura. Por ejemplo, un comando como cscript pubprn Pr MITRE: T1216.001 podría ser utilizado para publicar una impresora en un dominio específico.

Actores que la Utilizan

No hay información pública específica sobre actores o grupos que utilicen esta técnica. Sin embargo, técnicas de este tipo suelen ser herramientas comunes para actores cibernéticos con objetivos de ciberataque, incluyendo amenazas estado-nacionales y ciberdelincuentes.

Detección

La detección se enfoca en identificar actividades anómalas relacionadas con la publicación de impresoras en Active Directory. Se recomienda monitorear los siguientes signos: - Uso inusual del Cscript.exe para ejecutar scripts no autorizados. - Publicaciones de impresoras en dominios no esperadas o sin permiso. - Scripts firmados por Microsoft que no estén asociados a funcionalidades legítimas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a PubPrn, se recomienda: - Restringir la ejecución de scripts no autorizados mediante políticas de grupo. - Monitorear y auditar las actividades en Active Directory para detectar publicaciones de impresoras anómalas. - Validar firmas de scripts con Microsoft antes de su ejecución. - Implementar segmentación de red para limitar el acceso a recursos críticos como Active Directory.

← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable