近日,波蘭網(wǎng)絡(luò)安全公司REDTEAM.PL的研究人員觀察到“黑暗王國”(Black Kingdom)勒索軟件利用去年修補(bǔ)的Pulse Secure VPN漏洞發(fā)起攻擊。
該漏洞編號(hào)為CVE-2019-11510,CVSS得分高達(dá)10分,是Pulse Secure在企業(yè)VPN中發(fā)現(xiàn)的幾個(gè)安全漏洞中最為嚴(yán)重的漏洞。
該漏洞是一個(gè)任意文件讀取漏洞,允許未經(jīng)身份驗(yàn)證的攻擊者竊取憑據(jù),然后將這些憑據(jù)與Pulse Secure產(chǎn)品中的遠(yuǎn)程命令注入漏洞(CVE-2019-11539)結(jié)合使用,以破壞專用VPN網(wǎng)絡(luò)。
Pulse Secure在2019年4月發(fā)布了針對(duì)已發(fā)現(xiàn)漏洞的補(bǔ)丁程序,并在2019年8月宣布大多數(shù)客戶已經(jīng)安裝了補(bǔ)丁,但是,似乎有不少組織未修補(bǔ)其系統(tǒng)。
在今年早些時(shí)候發(fā)布的警報(bào)中,美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)曾警告說,修補(bǔ)易受攻擊的VPN不足以將攻擊者拒之門外,特別是如果攻擊者已經(jīng)利用了該漏洞。
早在去年8月業(yè)界就發(fā)現(xiàn)了針對(duì)該漏洞的首次網(wǎng)絡(luò)攻擊,但令人吃驚的是這種攻擊一直持續(xù)至今。自2019年底以來,政府贊助的攻擊者也加入了攻擊。今年1月,安全研究人員透露,勒索軟件Sodinokibi的運(yùn)營(yíng)商已開始針對(duì)該漏洞。
現(xiàn)在,“黑暗王國”勒索軟件也開始利用Pulse的VPN漏洞,其背后的攻擊者同時(shí)也正在利用CVE-2019-11510破壞企業(yè)基礎(chǔ)設(shè)施。
經(jīng)過初期滲透后,攻擊者使用名為GoogleUpdateTaskMachineUSA的計(jì)劃任務(wù)來實(shí)現(xiàn)攻擊的持久性。該任務(wù)的名稱與合法的Google Chrome瀏覽器任務(wù)的名稱非常相似,但后者名稱的結(jié)尾字母是UA而不是USA。
該惡意任務(wù)會(huì)執(zhí)行代碼以運(yùn)行PowerShell腳本從用于發(fā)起網(wǎng)絡(luò)攻擊的IP地址下載其他代碼。一旦在受感染的系統(tǒng)上啟動(dòng)并運(yùn)行,勒索軟件就會(huì)將.black_kingdom擴(kuò)展名附加到加密文件中。
在惡意軟件發(fā)出的贖金勒索消息中,攻擊者要求用戶支付價(jià)值1萬美元的比特幣,聲稱如果不在600分鐘之內(nèi)支付贖金,他們將銷毀受害者的所有數(shù)據(jù)。攻擊者還指示受害者通過blackingdom@gszmail.com這個(gè)電子郵件地址與其聯(lián)系。