Des chercheurs de la firme de cybersécurité basée en Pologne REDTEAM.PL ont observé des attaques de ransomwares Black Kingdom qui exploitent une vulnérabilité de Pulse Secure VPN corrigée l’année dernière.

Suivi comme CVE-2019-11510 et présentant un score CVSS de 10, la vulnérabilité était la plus grave de plusieurs failles de sécurité identifiées dans les VPN d’entreprise de Pulse Secure.

Un problème de lecture de fichier arbitraire, le bogue pourrait permettre à des attaquants non authentifiés d’exfiltrer des informations d’identification qui peuvent ensuite être utilisées en combinaison avec une vulnérabilité d’injection de commande à distance dans les produits Pulse Secure (CVE-2019-11539) pour compromettre les réseaux VPN privés.

Pulse Secure a publié des correctifs pour les problèmes identifiés en avril 2019 et a déclaré en août 2019 que la plupart des clients les avaient déjà installés. Cependant, il semble que certaines organisations n’aient toujours pas corrigé leurs systèmes.

Dans une alerte publiée plus tôt cette année, la U.S.Cybersecurity and Infrastructure Security Agency (CISA) a averti que les correctifs de VPN vulnérables ne seraient pas suffisants pour empêcher les attaquants de pénétrer, surtout s’ils ont déjà exploité la vulnérabilité.

Les premières cyberattaques ciblant cette vulnérabilité ont été observées en août de l’année dernière, mais le ciblage a continué à ce jour, avec des acteurs parrainés par l’État rejoignant la mêlée depuis fin 2019. En janvier, des chercheurs en sécurité ont révélé que les opérateurs de ransomware Sodinokibi avaient commencé à cibler la faille.

Maintenant, REDTEAM.PL dit que l’acteur de menace derrière le ransomware Black Kingdom exploite également CVE-2019-11510 pour compromettre l’infrastructure d’entreprise.

Suite au compromis initial, les attaquants utilisent une tâche planifiée nommée GoogleUpdateTaskMachineUSA pour atteindre la persistance. Le nom de la tâche ressemble étroitement à celui d’une tâche Google Chrome légitime, qui se termine par UA, pas par USA.

La tâche malveillante exécute du code pour exécuter un script PowerShell qui télécharge du code supplémentaire à partir d’une adresse IP également utilisée pour lancer le réseau …