近日，波蘭網(wǎng)絡安全公司REDTEAM.PL的研究人員觀察到“黑暗王國”（Black Kingdom）勒索軟件利用去年修補的Pulse Secure VPN漏洞發(fā)起攻擊。

該漏洞編號為CVE-2019-11510，CVSS得分高達10分，是Pulse Secure在企業(yè)VPN中發(fā)現(xiàn)的幾個安全漏洞中最為嚴重的漏洞。

該漏洞是一個任意文件讀取漏洞，允許未經(jīng)身份驗證的攻擊者竊取憑據(jù)，然后將這些憑據(jù)與Pulse Secure產(chǎn)品中的遠程命令注入漏洞（CVE-2019-11539）結合使用，以破壞專用VPN網(wǎng)絡。

Pulse Secure在2019年4月發(fā)布了針對已發(fā)現(xiàn)漏洞的補丁程序，并在2019年8月宣布大多數(shù)客戶已經(jīng)安裝了補丁，但是，似乎有不少組織未修補其系統(tǒng)。

在今年早些時候發(fā)布的警報中，美國網(wǎng)絡安全和基礎架構安全局（CISA）曾警告說，修補易受攻擊的VPN不足以將攻擊者拒之門外，特別是如果攻擊者已經(jīng)利用了該漏洞。

早在去年8月業(yè)界就發(fā)現(xiàn)了針對該漏洞的首次網(wǎng)絡攻擊，但令人吃驚的是這種攻擊一直持續(xù)至今。自2019年底以來，政府贊助的攻擊者也加入了攻擊。今年1月，安全研究人員透露，勒索軟件Sodinokibi的運營商已開始針對該漏洞。

現(xiàn)在，“黑暗王國”勒索軟件也開始利用Pulse的VPN漏洞，其背后的攻擊者同時也正在利用CVE-2019-11510破壞企業(yè)基礎設施。

經(jīng)過初期滲透后，攻擊者使用名為GoogleUpdateTaskMachineUSA的計劃任務來實現(xiàn)攻擊的持久性。該任務的名稱與合法的Google Chrome瀏覽器任務的名稱非常相似，但后者名稱的結尾字母是UA而不是USA。

該惡意任務會執(zhí)行代碼以運行PowerShell腳本從用于發(fā)起網(wǎng)絡攻擊的IP地址下載其他代碼。一旦在受感染的系統(tǒng)上啟動并運行，勒索軟件就會將.black_kingdom擴展名附加到加密文件中。

在惡意軟件發(fā)出的贖金勒索消息中，攻擊者要求用戶支付價值1萬美元的比特幣，聲稱如果不在600分鐘之內(nèi)支付贖金，他們將銷毀受害者的所有數(shù)據(jù)。攻擊者還指示受害者通過blackingdom@gszmail.com這個電子郵件地址與其聯(lián)系。