“ Black Kingdom” 勒索软件运营商瞄准了 Pulse 安全 VPN
波兰网络安全公司REDTEAM.PL的研究人员观察到黑王国勒索软件攻击,利用了去年修补的Pulse Secure VPN漏洞。
漏洞跟踪为CVE-2019-11510,CVSS得分为10,是Pulse Secure在企业VPN中发现的几个安全漏洞中最严重的漏洞。
该漏洞是一个任意文件读取问题,该漏洞可能允许未经身份验证的攻击者窃取凭据,然后将这些凭据与Pulse Secure产品(CVE-2019-11539)中的远程命令注入漏洞结合使用,以破坏专用VPN网络。
Pulse Secure在2019年4月发布了针对已发现问题的补丁程序,并在2019年8月表示大多数客户已经安装了它们。但是,似乎有些组织仍未修补其系统。
在今年早些时候发布的警报中,美国网络安全和基础架构安全局(CISA)警告说,修补易受攻击的VPN 不足以将攻击者拒之门外,特别是如果攻击者已经利用了该漏洞。
第一次网络攻击在8月针对发现此漏洞去年,但目标一直延续至今,与国家资助者加入竞争,因为2019年后期在一月份,安全研究人员发现,Sodinokibi勒索运营商开始瞄准的缺陷。
现在,REDTEAM.PL表示,Black Kingdom勒索软件背后的威胁参与者也正在利用CVE-2019-11510破坏企业基础设施。
经过最初的妥协后,攻击者使用了名为GoogleUpdateTaskMachineUSA的计划任务来实现持久性。该任务的名称与合法的Google Chrome浏览器任务的名称非常相似,该任务以UA(而不是美国)结尾。
恶意任务执行代码以运行PowerShell脚本,该脚本从还用于发起网络攻击的IP地址下载其他代码。一旦在受感染的系统上启动并运行,勒索软件就会将.black_kingdom扩展名附加到加密文件中。
在恶意软件发出的赎金记录中,攻击者要求支付10,000美元的比特币,声称如果不在600分钟之内支付赎金,他们将销毁受害者的所有数据。指示受害者通过gszmail.com上的blackingdom电子邮件地址与威胁行为者联系。
