近日,波兰网络安全公司REDTEAM.PL的研究人员发现,“黑暗王国”(Black Kingdom)勒索软件正在利用去年已修补的Pulse Secure VPN漏洞进行攻击。这一漏洞编号为CVE-2019-11510,其CVSS得分高达10分,是Pulse Secure在企业VPN中发现的多个安全漏洞中最为严重的一项。
CVE-2019-11510漏洞解析
该漏洞是一个任意文件读取漏洞,允许未经身份验证的攻击者窃取凭据。攻击者随后可以将这些凭据与Pulse Secure产品中的远程命令注入漏洞(CVE-2019-11539)结合使用,从而破坏专用VPN网络。Pulse Secure在2019年4月发布了针对已发现漏洞的补丁程序,并在2019年8月宣布大多数客户已经安装了补丁。然而,令人遗憾的是,仍有不少组织未能及时修补其系统。
美国CISA警告
在今年早些时候发布的警报中,美国网络安全和基础设施安全局(CISA)曾警告称,单靠修补易受攻击的VPN无法有效阻止攻击者,特别是当攻击者已经利用了该漏洞的情况下。早在去年8月,业界就首次发现了针对该漏洞的网络攻击,而令人惊讶的是,这种攻击仍在持续。自2019年底以来,政府赞助的攻击者也加入了这一攻击行列。今年1月,安全研究人员透露,勒索软件Sodinokibi的运营商已开始针对该漏洞进行攻击。
“黑暗王国”勒索软件攻击
如今,“黑暗王国”勒索软件也开始利用Pulse的VPN漏洞,攻击者通过CVE-2019-11510破坏企业基础设施。在初期渗透后,攻击者使用名为GoogleUpdateTaskMachineUSA的计划任务来实现攻击的持久性。该任务的名称与合法的Google Chrome浏览器任务名称非常相似,后者名称的结尾字母是UA而非USA。
恶意任务的执行
该恶意任务会执行代码,以运行PowerShell脚本从用于发起网络攻击的IP地址下载其他代码。一旦在受感染的系统上启动并运行,勒索软件就会将.black_kingdom扩展名附加到加密文件中。
赎金要求
在恶意软件发出的赎金勒索消息中,攻击者要求用户支付价值1万美元的比特币,声称如果不在600分钟内支付赎金,他们将销毁受害者的所有数据。攻击者还指示受害者通过blackingdom 163.com。
