近日，波蘭網(wǎng)絡(luò)安全公司REDTEAM.PL的研究人員觀察到“黑暗王國”（Black Kingdom）勒索軟件利用去年修補(bǔ)的Pulse Secure VPN漏洞發(fā)起攻擊。

該漏洞編號為CVE-2019-11510，CVSS得分高達(dá)10分，是Pulse Secure在企業(yè)VPN中發(fā)現(xiàn)的幾個(gè)安全漏洞中最為嚴(yán)重的漏洞。

該漏洞是一個(gè)任意文件讀取漏洞，允許未經(jīng)身份驗(yàn)證的攻擊者竊取憑據(jù)，然后將這些憑據(jù)與Pulse Secure產(chǎn)品中的遠(yuǎn)程命令注入漏洞（CVE-2019-11539）結(jié)合使用，以破壞專用VPN網(wǎng)絡(luò)。

Pulse Secure在2019年4月發(fā)布了針對已發(fā)現(xiàn)漏洞的補(bǔ)丁程序，并在2019年8月宣布大多數(shù)客戶已經(jīng)安裝了補(bǔ)丁，但是，似乎有不少組織未修補(bǔ)其系統(tǒng)。

在今年早些時(shí)候發(fā)布的警報(bào)中，美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局（CISA）曾警告說，修補(bǔ)易受攻擊的VPN不足以將攻擊者拒之門外，特別是如果攻擊者已經(jīng)利用了該漏洞。

早在去年8月業(yè)界就發(fā)現(xiàn)了針對該漏洞的首次網(wǎng)絡(luò)攻擊，但令人吃驚的是這種攻擊一直持續(xù)至今。自2019年底以來，政府贊助的攻擊者也加入了攻擊。今年1月，安全研究人員透露，勒索軟件Sodinokibi的運(yùn)營商已開始針對該漏洞。

現(xiàn)在，“黑暗王國”勒索軟件也開始利用Pulse的VPN漏洞，其背后的攻擊者同時(shí)也正在利用CVE-2019-11510破壞企業(yè)基礎(chǔ)設(shè)施。

經(jīng)過初期滲透后，攻擊者使用名為GoogleUpdateTaskMachineUSA的計(jì)劃任務(wù)來實(shí)現(xiàn)攻擊的持久性。該任務(wù)的名稱與合法的Google Chrome瀏覽器任務(wù)的名稱非常相似，但后者名稱的結(jié)尾字母是UA而不是USA。

該惡意任務(wù)會執(zhí)行代碼以運(yùn)行PowerShell腳本從用于發(fā)起網(wǎng)絡(luò)攻擊的IP地址下載其他代碼。一旦在受感染的系統(tǒng)上啟動并運(yùn)行，勒索軟件就會將.black_kingdom擴(kuò)展名附加到加密文件中。

在惡意軟件發(fā)出的贖金勒索消息中，攻擊者要求用戶支付價(jià)值1萬美元的比特幣，聲稱如果不在600分鐘之內(nèi)支付贖金，他們將銷毀受害者的所有數(shù)據(jù)。攻擊者還指示受害者通過blackingdom@gszmail.com這個(gè)電子郵件地址與其聯(lián)系。