勒索软件通过VPN漏洞攻击用户

安全牛 2022-06-17

点击蓝字关注我们

VPN是提高远程办公或远程访问安全性的重要技术，但是如果VPN成为勒索软件的“投放渠道”，其杀伤力也是巨大的。

近日，波兰网络安全公司REDTEAM.PL的研究人员观察到“黑暗王国”（Black Kingdom）勒索软件利用去年修补的Pulse Secure VPN漏洞发起攻击。

该漏洞编号为CVE-2019-11510，CVSS得分高达10分，是Pulse Secure在企业VPN中发现的几个安全漏洞中最为严重的漏洞。

该漏洞是一个任意文件读取漏洞，允许未经身份验证的攻击者窃取凭据，然后将这些凭据与Pulse Secure产品中的远程命令注入漏洞（CVE-2019-11539）结合使用，以破坏专用VPN网络。

Pulse Secure在2019年4月发布了针对已发现漏洞的补丁程序，并在2019年8月宣布大多数客户已经安装了补丁，但是，似乎有不少组织未修补其系统。

在今年早些时候发布的警报中，美国网络安全和基础架构安全局（CISA）曾警告说，修补易受攻击的VPN不足以将攻击者拒之门外，特别是如果攻击者已经利用了该漏洞。

早在去年8月业界就发现了针对该漏洞的首次网络攻击，但令人吃惊的是这种攻击一直持续至今。自2019年底以来，政府赞助的攻击者也加入了攻击。今年1月，安全研究人员透露，勒索软件Sodinokibi的运营商已开始针对该漏洞。

现在，“黑暗王国”勒索软件也开始利用Pulse的VPN漏洞，其背后的攻击者同时也正在利用CVE-2019-11510破坏企业基础设施。

经过初期渗透后，攻击者使用名为GoogleUpdateTaskMachineUSA的计划任务来实现攻击的持久性。该任务的名称与合法的Google Chrome浏览器任务的名称非常相似，但后者名称的结尾字母是UA而不是USA。

该恶意任务会执行代码以运行PowerShell脚本从用于发起网络攻击的IP地址下载其他代码。一旦在受感染的系统上启动并运行，勒索软件就会将.black_kingdom扩展名附加到加密文件中。

在恶意软件发出的赎金勒索消息中，攻击者要求用户支付价值1万美元的比特币，声称如果不在600分钟之内支付赎金，他们将销毁受害者的所有数据。攻击者还指示受害者通过blackingdom@gszmail.com这个电子邮件地址与其联系。