虚拟系统管理Kaseya VSA遭黑客滥用 受感染系统秒变门罗币挖矿机

“用指尖改变世界”

根据网络安全公司eSentire在本周二发布的调查报告称,自2018年1月19日起,黑客开始利用Kaseya VSA(虚拟系统管理)存在的安全漏洞在未经授权的情况下访问VSA用户的资产,并将门罗币(Monero)挖矿软件部署到目标系统中。

eSentire的研究人员表示,在1月19日至1月24日期间,他们的安全管理平台(SOC)监测到正运行esENDPOINT(该公司向其客户单位提供的专属软件)的多家客户单位出现了可疑的PowerShell活动,导致一个门罗币挖矿软件“xmrig.exe”被部署。

挖矿软件利用了Kaseya VSA的 “agentmon.exe” 进程,以通过命令提示符cmd.exe启动PowerShell,最终将有效载荷和启动脚本存储到注册表中,并创建一个随机生成的能够在设置日期触发的计划任务

根据这种机制,研究人员建议可以通过删除注册表项和计划的任务来阻止挖矿行为,并停止运行xmrig.exe的PowerShell进程。

eSentire的首席技术官Mark McArdle表示,这种攻击手段类似于去年的NotPetya勒索软件,黑客利用了第三方软件来感染目标系统,并传播勒索软件或者其他类型的恶意软件。

eSentire已经向Kaseya披露了这个问题,Kaseya也正在积极努力沟通和缓解这个问题。

这本周一,Kaseya提供了一系列修补程序来解决这个漏洞,以确保其客户受到恶意活动的影响。

Kaseya还强调,目前没有任何直接证据表明这个漏洞被用来收集用户的个人信息、财务信息或者其他敏感信息

Kaseya强烈建议用户应立即下载并安装他们提供的修补程序。使用版本R9.5的用户需要安装补丁9.5.0.3,使用版本R9.4的用户需要安装补丁9.4.0.35,使用版本R9.3的用户需要安装补丁9.3.0.34。另外,对于使用R9.2或更早版本的用户,Kaseya则建议升级到R9.3或更高版本。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180201B08TFD00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区