勒索軟件通過VPN漏洞攻擊用戶

作者:

時間:
2020-06-19

VPN是提高遠程辦公或遠程訪問安全性的重要技術(shù),但是如果VPN成為勒索軟件的“投放渠道”,其殺傷力也是巨大的。




近日,波蘭網(wǎng)絡(luò)安全公司REDTEAM.PL的研究人員觀察到“黑暗王國”(Black Kingdom)勒索軟件利用去年修補的Pulse Secure VPN漏洞發(fā)起攻擊。


該漏洞編號為CVE-2019-11510,CVSS得分高達10分,是Pulse Secure在企業(yè)VPN中發(fā)現(xiàn)的幾個安全漏洞中最為嚴重的漏洞。


該漏洞是一個任意文件讀取漏洞,允許未經(jīng)身份驗證的攻擊者竊取憑據(jù),然后將這些憑據(jù)與Pulse Secure產(chǎn)品中的遠程命令注入漏洞(CVE-2019-11539)結(jié)合使用,以破壞專用VPN網(wǎng)絡(luò)。


Pulse Secure在2019年4月發(fā)布了針對已發(fā)現(xiàn)漏洞的補丁程序,并在2019年8月宣布大多數(shù)客戶已經(jīng)安裝了補丁,但是,似乎有不少組織未修補其系統(tǒng)。


在今年早些時候發(fā)布的警報中,美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)曾警告說,修補易受攻擊的VPN不足以將攻擊者拒之門外,特別是如果攻擊者已經(jīng)利用了該漏洞。


早在去年8月業(yè)界就發(fā)現(xiàn)了針對該漏洞的首次網(wǎng)絡(luò)攻擊,但令人吃驚的是這種攻擊一直持續(xù)至今。自2019年底以來,政府贊助的攻擊者也加入了攻擊。今年1月,安全研究人員透露,勒索軟件Sodinokibi的運營商已開始針對該漏洞。


現(xiàn)在,“黑暗王國”勒索軟件也開始利用Pulse的VPN漏洞,其背后的攻擊者同時也正在利用CVE-2019-11510破壞企業(yè)基礎(chǔ)設(shè)施。


經(jīng)過初期滲透后,攻擊者使用名為GoogleUpdateTaskMachineUSA的計劃任務(wù)來實現(xiàn)攻擊的持久性。該任務(wù)的名稱與合法的Google Chrome瀏覽器任務(wù)的名稱非常相似,但后者名稱的結(jié)尾字母是UA而不是USA。


該惡意任務(wù)會執(zhí)行代碼以運行PowerShell腳本從用于發(fā)起網(wǎng)絡(luò)攻擊的IP地址下載其他代碼。一旦在受感染的系統(tǒng)上啟動并運行,勒索軟件就會將.black_kingdom擴展名附加到加密文件中。


在惡意軟件發(fā)出的贖金勒索消息中,攻擊者要求用戶支付價值1萬美元的比特幣,聲稱如果不在600分鐘之內(nèi)支付贖金,他們將銷毀受害者的所有數(shù)據(jù)。攻擊者還指示受害者通過blackingdom@gszmail.com這個電子郵件地址與其聯(lián)系。



本文轉(zhuǎn)載自微信公眾號“安全牛”