El equipo detrás del ransomware Black Kingdom está explotando una vulnerabilidad conocida en el software Pulse Secure VPN para obtener acceso a redes corporativas, según han encontrado investigadores de REDTEAM.PL.
Los expertos tienen tácticas, técnicas y procedimientos detallados (TTP) utilizados por el actor de la amenaza en la reciente publicación del blog . Según el informe, el grupo está explotando CVE-2019-11510, una vulnerabilidad crítica que afecta las versiones anteriores de Pulse Secure VPN. La falla permite que un atacante remoto no autenticado lea archivos arbitrarios enviando un URI especialmente diseñado. Aunque esta vulnerabilidad se parchó en abril del año pasado, muchas compañías aún no han actualizado su software a pesar de numerosos informes sobre la explotación de CVE-2019-11510 en la naturaleza.
Según el análisis de REDTEAM.PL, una vez que los atacantes obtienen acceso inicial a la infraestructura de una empresa utilizando CVE-2019-11510, establecen persistencia al hacerse pasar por una tarea programada legítima para Google Chrome (tarea GoogleUpdateTaskMachineUSA - Black Kingdom).
Esta tarea ejecuta un código de PowerShell que descarga un script llamado "reverse.ps1", que probablemente se usa para abrir el shell inverso en un host atacado.
Los investigadores dijeron que el ataque se lanzó desde la dirección IP (198.13.49[.]179), que es administrada por Choopa, un alojamiento web que proporciona servidores privados virtuales (VPS) y es conocido por ser utilizado por actores maliciosos para alojar su software malicioso.
La dirección IP se resuelve en tres dominios, uno de los cuales está conectado a servidores en los EE. UU. E Italia que alojan malware Android y herramientas de minería de criptomonedas.
