勒索软件通过VPN漏洞攻击用户

作者:

时间:
2020-06-19

VPN是提高远程办公或远程访问安全性的重要技术,但是如果VPN成为勒索软件的“投放渠道”,其杀伤力也是巨大的。




近日,波兰网络安全公司REDTEAM.PL的研究人员观察到“黑暗王国”(Black Kingdom)勒索软件利用去年修补的Pulse Secure VPN漏洞发起攻击。


该漏洞编号为CVE-2019-11510,CVSS得分高达10分,是Pulse Secure在企业VPN中发现的几个安全漏洞中最为严重的漏洞。


该漏洞是一个任意文件读取漏洞,允许未经身份验证的攻击者窃取凭据,然后将这些凭据与Pulse Secure产品中的远程命令注入漏洞(CVE-2019-11539)结合使用,以破坏专用VPN网络。


Pulse Secure在2019年4月发布了针对已发现漏洞的补丁程序,并在2019年8月宣布大多数客户已经安装了补丁,但是,似乎有不少组织未修补其系统。


在今年早些时候发布的警报中,美国网络安全和基础架构安全局(CISA)曾警告说,修补易受攻击的VPN不足以将攻击者拒之门外,特别是如果攻击者已经利用了该漏洞。


早在去年8月业界就发现了针对该漏洞的首次网络攻击,但令人吃惊的是这种攻击一直持续至今。自2019年底以来,政府赞助的攻击者也加入了攻击。今年1月,安全研究人员透露,勒索软件Sodinokibi的运营商已开始针对该漏洞。


现在,“黑暗王国”勒索软件也开始利用Pulse的VPN漏洞,其背后的攻击者同时也正在利用CVE-2019-11510破坏企业基础设施。


经过初期渗透后,攻击者使用名为GoogleUpdateTaskMachineUSA的计划任务来实现攻击的持久性。该任务的名称与合法的Google Chrome浏览器任务的名称非常相似,但后者名称的结尾字母是UA而不是USA。


该恶意任务会执行代码以运行PowerShell脚本从用于发起网络攻击的IP地址下载其他代码。一旦在受感染的系统上启动并运行,勒索软件就会将.black_kingdom扩展名附加到加密文件中。


在恶意软件发出的赎金勒索消息中,攻击者要求用户支付价值1万美元的比特币,声称如果不在600分钟之内支付赎金,他们将销毁受害者的所有数据。攻击者还指示受害者通过blackingdom@gszmail.com这个电子邮件地址与其联系。



本文转载自微信公众号“安全牛”