近日�,波蘭網(wǎng)絡(luò )安全公司REDTEAM.PL的研究人員觀(guān)察到“黑暗王國”(Black Kingdom)勒索軟件利用去年修補的Pulse Secure VPN漏洞發(fā)起攻擊���。
該漏洞編號為CVE-2019-11510����,CVSS得分高達10分����,是Pulse Secure在企業(yè)VPN中發(fā)現的幾個(gè)安全漏洞中最為嚴重的漏洞�。
該漏洞是一個(gè)任意文件讀取漏洞����,允許未經(jīng)身份驗證的攻擊者竊取憑據��,然后將這些憑據與Pulse Secure產(chǎn)品中的遠程命令注入漏洞(CVE-2019-11539)結合使用���,以破壞專(zhuān)用VPN網(wǎng)絡(luò )�����。
Pulse Secure在2019年4月發(fā)布了針對已發(fā)現漏洞的補丁程序����,并在2019年8月宣布大多數客戶(hù)已經(jīng)安裝了補丁����,但是��,似乎有不少組織未修補其系統��。
在今年早些時(shí)候發(fā)布的警報中����,美國網(wǎng)絡(luò )安全和基礎架構安全局(CISA)曾警告說(shuō)��,修補易受攻擊的VPN不足以將攻擊者拒之門(mén)外����,特別是如果攻擊者已經(jīng)利用了該漏洞��。
早在去年8月業(yè)界就發(fā)現了針對該漏洞的首次網(wǎng)絡(luò )攻擊���,但令人吃驚的是這種攻擊一直持續至今�����。自2019年底以來(lái)�����,政府贊助的攻擊者也加入了攻擊�����。今年1月����,安全研究人員透露����,勒索軟件Sodinokibi的運營(yíng)商已開(kāi)始針對該漏洞���。
現在�,“黑暗王國”勒索軟件也開(kāi)始利用Pulse的VPN漏洞����,其背后的攻擊者同時(shí)也正在利用CVE-2019-11510破壞企業(yè)基礎設施����。
經(jīng)過(guò)初期滲透后��,攻擊者使用名為GoogleUpdateTaskMachineUSA的計劃任務(wù)來(lái)實(shí)現攻擊的持久性��。該任務(wù)的名稱(chēng)與合法的Google Chrome瀏覽器任務(wù)的名稱(chēng)非常相似����,但后者名稱(chēng)的結尾字母是UA而不是USA��。
該惡意任務(wù)會(huì )執行代碼以運行PowerShell腳本從用于發(fā)起網(wǎng)絡(luò )攻擊的IP地址下載其他代碼��。一旦在受感染的系統上啟動(dòng)并運行�����,勒索軟件就會(huì )將.black_kingdom擴展名附加到加密文件中�����。
在惡意軟件發(fā)出的贖金勒索消息中�����,攻擊者要求用戶(hù)支付價(jià)值1萬(wàn)美元的比特幣����,聲稱(chēng)如果不在600分鐘之內支付贖金���,他們將銷(xiāo)毀受害者的所有數據����。攻擊者還指示受害者通過(guò)blackingdom@gszmail.com這個(gè)電子郵件地址與其聯(lián)系��。