虚拟系统管理Kaseya VSA遭黑客滥用 受感染系统秒变门罗币挖矿机

“用指尖改变世界”

根据网络安全公司eSentire在本周二发布的调查报告称，自2018年1月19日起，黑客开始利用Kaseya VSA(虚拟系统管理)存在的安全漏洞在未经授权的情况下访问VSA用户的资产，并将门罗币(Monero)挖矿软件部署到目标系统中。

eSentire的研究人员表示，在1月19日至1月24日期间，他们的安全管理平台(SOC)监测到正运行esENDPOINT(该公司向其客户单位提供的专属软件)的多家客户单位出现了可疑的PowerShell活动，导致一个门罗币挖矿软件“xmrig.exe”被部署。

挖矿软件利用了Kaseya VSA的 “agentmon.exe” 进程，以通过命令提示符cmd.exe启动PowerShell，最终将有效载荷和启动脚本存储到注册表中，并创建一个随机生成的能够在设置日期触发的计划任务。

根据这种机制，研究人员建议可以通过删除注册表项和计划的任务来阻止挖矿行为，并停止运行xmrig.exe的PowerShell进程。

eSentire的首席技术官Mark McArdle表示，这种攻击手段类似于去年的NotPetya勒索软件，黑客利用了第三方软件来感染目标系统，并传播勒索软件或者其他类型的恶意软件。

eSentire已经向Kaseya披露了这个问题，Kaseya也正在积极努力沟通和缓解这个问题。

这本周一，Kaseya提供了一系列修补程序来解决这个漏洞，以确保其客户受到恶意活动的影响。

Kaseya还强调，目前没有任何直接证据表明这个漏洞被用来收集用户的个人信息、财务信息或者其他敏感信息。

Kaseya强烈建议用户应立即下载并安装他们提供的修补程序。使用版本R9.5的用户需要安装补丁9.5.0.3，使用版本R9.4的用户需要安装补丁9.4.0.35，使用版本R9.3的用户需要安装补丁9.3.0.34。另外，对于使用R9.2或更早版本的用户，Kaseya则建议升级到R9.3或更高版本。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。