Black Kingdom勒索软件操作者利用Pulse Secure VPN漏洞部署恶意软件
字数 1391 2025-08-15 21:31:07

Black Kingdom勒索软件利用Pulse Secure VPN漏洞攻击分析报告

1. 事件概述

Black Kingdom勒索软件操作者正在利用Pulse Secure VPN软件中的CVE-2019-11510漏洞攻击未修复该漏洞的组织。攻击者通过此漏洞获取网络访问权限后部署勒索软件。

2. 漏洞详情

CVE-2019-11510

  • 类型: 超危任意文件读取漏洞
  • 影响产品: Pulse Connect Secure VPN
  • CVSS评分: 10.0 (最高危级别)
  • 发现时间: 2019年4月已修复
  • 利用方式:
    • 通过HTTPS进行网络访问
    • 攻击者无需身份认证
    • 通过发送特殊构造的URI读取任意文件
    • 可结合CVE-2019-11539(远程命令注入漏洞)获取VPN网络访问权限

3. 攻击链分析

3.1 初始访问

  • 利用Pulse Secure VPN的CVE-2019-11510漏洞获取初始访问权限
  • 使用公开可得的PoC代码进行漏洞利用

3.2 持久化机制

  • 创建伪装成Google Chrome更新的计划任务:
    • 恶意任务名: GoogleUpdateTaskMachineUSA
    • 合法任务名: GoogleUpdateTaskMachineUA (仅最后一个字母不同)
  • 计划任务执行隐藏在PowerShell窗口中的Base64编码字符串

3.3 恶意载荷部署

  • 下载并执行名为"reverse.ps1"的PowerShell脚本
  • 该脚本在受害主机上建立反向shell
  • 恶意脚本托管在198.13.49[.]179(Choopa提供商)

3.4 相关基础设施

  • 攻击者使用的域名:
    • host.cutestboty.com
    • keepass.cutestboty.com
    • anno1119.com
  • 这些域名还关联到Android恶意软件和加密货币挖矿恶意软件

4. Black Kingdom勒索软件特征

文件加密行为

  • 加密用户文件
  • 添加.DEMON扩展名到被加密文件

勒索要求

  • 索要价值1万美元的比特币
  • 威胁不支付将销毁或出售文件

5. 防御建议

漏洞修复

  • 立即应用Pulse Secure VPN的安全更新(2019年4月发布)
  • 检查并修复CVE-2019-11510和CVE-2019-11539漏洞

检测措施

  • 监控异常计划任务,特别是与"GoogleUpdateTaskMachine"类似的名称
  • 检查PowerShell日志中是否有Base64编码字符串执行
  • 监控对198.13.49.179等可疑IP的连接

应急响应

  • 隔离受感染系统
  • 检查VPN日志中是否有异常访问模式
  • 恢复备份而非支付赎金

6. IOCs(入侵指标)

  • IP地址:
    • 198.13.49.179
  • 域名:
    • host.cutestboty.com
    • keepass.cutestboty.com
    • anno1119.com
  • 计划任务名:
    • GoogleUpdateTaskMachineUSA
  • 文件扩展名:
    • .DEMON
  • 脚本名:
    • reverse.ps1
    • cversions_cache.ps1

7. 参考资源

  • REDTEAM分析报告
  • CISA关于Pulse Secure VPN漏洞的警告
  • MITRE ATT&CK技术:
    • T1053: Scheduled Task/Job
Black Kingdom勒索软件利用Pulse Secure VPN漏洞攻击分析报告 1. 事件概述 Black Kingdom勒索软件操作者正在利用Pulse Secure VPN软件中的CVE-2019-11510漏洞攻击未修复该漏洞的组织。攻击者通过此漏洞获取网络访问权限后部署勒索软件。 2. 漏洞详情 CVE-2019-11510 类型 : 超危任意文件读取漏洞 影响产品 : Pulse Connect Secure VPN CVSS评分 : 10.0 (最高危级别) 发现时间 : 2019年4月已修复 利用方式 : 通过HTTPS进行网络访问 攻击者无需身份认证 通过发送特殊构造的URI读取任意文件 可结合CVE-2019-11539(远程命令注入漏洞)获取VPN网络访问权限 3. 攻击链分析 3.1 初始访问 利用Pulse Secure VPN的CVE-2019-11510漏洞获取初始访问权限 使用公开可得的PoC代码进行漏洞利用 3.2 持久化机制 创建伪装成Google Chrome更新的计划任务: 恶意任务名: GoogleUpdateTaskMachineUSA 合法任务名: GoogleUpdateTaskMachineUA (仅最后一个字母不同) 计划任务执行隐藏在PowerShell窗口中的Base64编码字符串 3.3 恶意载荷部署 下载并执行名为"reverse.ps1"的PowerShell脚本 该脚本在受害主机上建立反向shell 恶意脚本托管在198.13.49[ . ]179(Choopa提供商) 3.4 相关基础设施 攻击者使用的域名: host.cutestboty.com keepass.cutestboty.com anno1119.com 这些域名还关联到Android恶意软件和加密货币挖矿恶意软件 4. Black Kingdom勒索软件特征 文件加密行为 加密用户文件 添加 .DEMON 扩展名到被加密文件 勒索要求 索要价值1万美元的比特币 威胁不支付将销毁或出售文件 5. 防御建议 漏洞修复 立即应用Pulse Secure VPN的安全更新(2019年4月发布) 检查并修复CVE-2019-11510和CVE-2019-11539漏洞 检测措施 监控异常计划任务,特别是与"GoogleUpdateTaskMachine"类似的名称 检查PowerShell日志中是否有Base64编码字符串执行 监控对198.13.49.179等可疑IP的连接 应急响应 隔离受感染系统 检查VPN日志中是否有异常访问模式 恢复备份而非支付赎金 6. IOCs(入侵指标) IP地址 : 198.13.49.179 域名 : host.cutestboty.com keepass.cutestboty.com anno1119.com 计划任务名 : GoogleUpdateTaskMachineUSA 文件扩展名 : .DEMON 脚本名 : reverse.ps1 cversions_ cache.ps1 7. 参考资源 REDTEAM分析报告 CISA关于Pulse Secure VPN漏洞的警告 MITRE ATT&CK技术: T1053: Scheduled Task/Job