“ Black Kingdom” 勒索軟件運營商瞄準了 Pulse 安全 VPN
波蘭網絡安全公司REDTEAM.PL的研究人員觀察到黑王國勒索軟件攻擊,利用了去年修補的Pulse Secure VPN漏洞。
漏洞跟蹤為CVE-2019-11510,CVSS得分為10,是Pulse Secure在企業VPN中發現的幾個安全漏洞中最嚴重的漏洞。
該漏洞是一個任意文件讀取問題,該漏洞可能允許未經身份驗證的攻擊者竊取憑據,然后將這些憑據與Pulse Secure產品(CVE-2019-11539)中的遠程命令注入漏洞結合使用,以破壞專用VPN網絡。
Pulse Secure在2019年4月發布了針對已發現問題的補丁程序,并在2019年8月表示大多數客戶已經安裝了它們。但是,似乎有些組織仍未修補其系統。
在今年早些時候發布的警報中,美國網絡安全和基礎架構安全局(CISA)警告說,修補易受攻擊的VPN 不足以將攻擊者拒之門外,特別是如果攻擊者已經利用了該漏洞。
第一次網絡攻擊在8月針對發現此漏洞去年,但目標一直延續至今,與國家資助者加入競爭,因為2019年后期在一月份,安全研究人員發現,Sodinokibi勒索運營商開始瞄準的缺陷。
現在,REDTEAM.PL表示,Black Kingdom勒索軟件背后的威脅參與者也正在利用CVE-2019-11510破壞企業基礎設施。
經過最初的妥協后,攻擊者使用了名為GoogleUpdateTaskMachineUSA的計劃任務來實現持久性。該任務的名稱與合法的Google Chrome瀏覽器任務的名稱非常相似,該任務以UA(而不是美國)結尾。
惡意任務執行代碼以運行PowerShell腳本,該腳本從還用于發起網絡攻擊的IP地址下載其他代碼。一旦在受感染的系統上啟動并運行,勒索軟件就會將.black_kingdom擴展名附加到加密文件中。
在惡意軟件發出的贖金記錄中,攻擊者要求支付10,000美元的比特幣,聲稱如果不在600分鐘之內支付贖金,他們將銷毀受害者的所有數據。指示受害者通過gszmail.com上的blackingdom電子郵件地址與威脅行為者聯系。
