虛擬系統管理Kaseya VSA遭黑客濫用 受感染系統秒變門羅幣挖礦機

「用指尖改變世界」

根據網路安全公司eSentire在本周二發布的調查報告稱，自2018年1月19日起，黑客開始利用Kaseya VSA(虛擬系統管理)存在的安全漏洞在未經授權的情況下訪問VSA用戶的資產，並將門羅幣(Monero)挖礦軟體部署到目標系統中。

eSentire的研究人員表示，在1月19日至1月24日期間，他們的安全管理平台(SOC)監測到正運行esENDPOINT(該公司向其客戶單位提供的專屬軟體)的多家客戶單位出現了可疑的PowerShell活動，導致一個門羅幣挖礦軟體「xmrig.exe」被部署。

挖礦軟體利用了Kaseya VSA的 「agentmon.exe」 進程，以通過命令提示符cmd.exe啟動PowerShell，最終將有效載荷和啟動腳本存儲到註冊表中，並創建一個隨機生成的能夠在設置日期觸發的計劃任務。

根據這種機制，研究人員建議可以通過刪除註冊表項和計劃的任務來阻止挖礦行為，並停止運行xmrig.exe的PowerShell進程。

eSentire的首席技術官Mark McArdle表示，這種攻擊手段類似於去年的NotPetya勒索軟體，黑客利用了第三方軟體來感染目標系統，並傳播勒索軟體或者其他類型的惡意軟體。

eSentire已經向Kaseya披露了這個問題，Kaseya也正在積極努力溝通和緩解這個問題。

這本周一，Kaseya提供了一系列修補程序來解決這個漏洞，以確保其客戶受到惡意活動的影響。

Kaseya還強調，目前沒有任何直接證據表明這個漏洞被用來收集用戶的個人信息、財務信息或者其他敏感信息。

Kaseya強烈建議用戶應立即下載並安裝他們提供的修補程序。使用版本R9.5的用戶需要安裝補丁9.5.0.3，使用版本R9.4的用戶需要安裝補丁9.4.0.35，使用版本R9.3的用戶需要安裝補丁9.3.0.34。另外，對於使用R9.2或更早版本的用戶，Kaseya則建議升級到R9.3或更高版本。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！