黑色王国赎金瓶运营商利用脉冲VPN缺陷

黑色王国Ransomware运算符是使用未分割的脉冲安全VPN软件定位组织来部署他们的恶意软件。

安全公司Redteam的研究人员报告说,黑色王国赎金软件背后的运营商是针对利用的企业 CVE-2019-11510 脉冲安全VPN软件的缺陷以访问网络。

Black Kingdom Ransomware首次由安全研究员于2月底发现 Grujars.。恶意代码对文件进行加密并将.demon扩展属追加到加密文档的文件名。

今年年初,美国国土安全部的网络安全和基础设施安全局(CISA)警告攻击者继续利用众所周知的脉冲安全VPN漏洞所追踪的组织 CVE-2019-11510.

这  CVE-2019-11510 脉冲连接安全的缺陷是一个关键的任意文件读取漏洞。

“通过HTTPS的网络访问未经身份验证的远程攻击者可以发送特制URI来执行任意文件读取漏洞。” 阅读咨询。

通过使用公开可用,漏洞可能很容易利用 验证概念 代码。缺陷可以与之结合使用  CVE-2019-11539 远程命令注入问题可以访问私有VPN网络。

恶意代码

该漏洞于2019年4月讨论,但许多组织延迟了更新服务器。

来自安全公司Redteam的研究人员发现,黑色王国Ransomware Black Kingdom Ransomware通过模拟Google Chrome的合法计划任务来建立持久性。攻击者使用了一个与单字母的合法任务不同的名称:

GoogleUpdatetaskmachineusa.– Black Kingdom task

googleupdatetaskmachineua.–合法的Google Chrome任务

Redteam研究人员发布了一个分析,详细说明了TTP和IOC的黑色王国赎金软件。

“攻击者通过脉冲安全VPN漏洞获得对基础架构的初步访问[//cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510]。因为持久性,他们使用计划任务[//attack.mitre.org/techniques/T1053/].” reads the 分析 由Redteam发布。“任务名称是,它类似于Google Chrome的合法任务,这些任务是与UA,而不是美国的。“

Redteam研究人员报告说,计划的任务在隐藏的PowerShell窗口中运行Base64编码的字符串代码,以获取名为“Reverse.pps1”的脚本,该脚本在受感染的计算机上建立反向shell。

低于cversions_cache.ps1 powershell脚本的内容:

“Reverse.ps1”脚本位于198.13.49 [。] 179,由其他网络犯罪分子使用的Choopa提供商运营。

“它[198.13.49 [。] 179]解析为三个域,第三个域连接到U.S.和意大利的其他服务器托管Android和CryptoCurrency Malify Malware。” 报道 BleepingComputer。

  • host.cutestboty.com.
  • KeepAss.CutestBoty.com.
  • Anno1119.com.

低于赎金说明要求被受感染的主机上的ransomware丢弃。运营商要求价值10,000美元的比特币来解密文件,并避免他们将被销毁或销售。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请