Kaseya 排除供应链攻击，说 VSA 0day 直接打击了它的客户

美国科技公司 Kaseya 正在打击对其 VSA 本地产品的有史以来最大规模的供应链勒索软件攻击，排除了其代码库被未经授权篡改以分发恶意软件的可能性。

虽然最初的报道引发了一种猜测，即攻击背后的勒索软件团伙 REvil 可能获得了对 Kaseya 后端基础设施的访问权，并滥用它向在客户端运行的 VSA 服务器部署恶意更新，其作案手法类似于破坏性的 SolarWinds hack 之后，发现该软件中一个前所未见的安全漏洞 ( CVE-2021-30116 ) 被用来向 Kaseya 的客户推送勒索软件。

“攻击者能够利用 VSA 产品中的零日漏洞绕过身份验证并运行任意命令执行，”这家总部位于迈阿密的公司在事件分析中指出。“这允许攻击者利用标准 VSA 产品功能将勒索软件部署到端点。没有证据表明 Kaseya 的 VSA 代码库已被恶意修改。”

换句话说，虽然对 Kaseya VSA 软件的成功零日漏洞利用本身并不是供应链攻击，但利用漏洞来危害托管服务提供商 (MSP) 并破坏其客户将构成一种攻击。

然而，目前还不清楚黑客是如何得知这些漏洞的。这些漏洞的细节尚未公开发布，尽管 Huntress Labs透露“网络犯罪分子利用了任意文件上传和代码注入漏洞，并且非常有信心使用身份验证绕过来访问这些服务器。”

Image Source: Cybereason

据该公司首席执行官 Fred Voccola 称，全球约有 60 家 MSP 和 1,500 家下游企业因勒索软件攻击而瘫痪，其中大部分都是小问题，如牙科诊所、建筑公司、整形外科中心和图书馆。

与俄罗斯相关的 REvil 勒索软件即服务 (RaaS) 组织相关的黑客最初要求提供 7000 万美元的比特币，以发布用于恢复所有受影响企业数据的解密工具，尽管他们已迅速将要价降至 5000 万美元，表明愿意协商他们的要求以换取较少的金额。

卡巴斯基研究人员周一表示： “REvil 勒索软件已在地下论坛上做广告三年，它是最多产的 RaaS 业务之一，”卡巴斯基研究人员周一表示，并补充说“该团伙在 2020 年从其业务中赚取了超过 1 亿美元。”

攻击链首先通过 PowerShell 脚本部署恶意 dropper，该脚本通过 Kaseya 的 VSA 软件执行。

“此脚本禁用 Microsoft Defender 的端点保护功能，然后使用 certutil.exe 实用程序解码恶意可执行文件 (agent.exe)，该可执行文件会释放合法的 Microsoft 二进制文件（MsMpEng.exe，Microsoft Defender 的旧版本）和恶意库（ mpsvc.dll)，这是 REvil 勒索软件。然后，合法的 MsMpEng.exe 会利用DLL 侧加载技术加载该库，”研究人员补充道。

该事件还促使美国网络安全和基础设施安全局 (CISA) 提供缓解指导，敦促企业启用多因素身份验证，将远程监控和管理 (RMM) 功能的通信限制为已知 IP 地址对，并放置管理接口RMM 位于虚拟专用网络 (VPN) 或专用管理网络上的防火墙之后。