Kaseya排除了供应链攻击；表示VSA 0-Day直接打击了客户

美国技术公司Kaseya正在对其VSA内部产品进行有史以来最大规模的供应链勒索软件攻击，排除了其代码库被未经授权篡改以传播恶意软件的可能性。

虽然最初的报告引发了猜测，即袭击背后的勒索软件团伙REvil可能已经获得了对Kaseya后端基础设施的访问权，并滥用该基础设施，以类似于毁灭性的SolarWinds黑客攻击的方式，向运行在客户机上的VSA服务器部署恶意更新，此后，软件中出现了一个前所未有的安全漏洞（CVE-2021-30116），将勒索软件推送到Kaseya的客户手中。

这家总部位于迈阿密的公司在事件分析中指出：“攻击者能够利用VSA产品中的零日漏洞绕过身份验证并执行任意命令。”。“这使得攻击者能够利用标准VSA产品功能将勒索软件部署到端点。没有证据表明Kaseya的VSA代码库被恶意修改。”

换句话说，虽然成功利用Kaseya VSA软件的零日攻击本身并不是供应链攻击，但利用该攻击危害托管服务提供商（MSP）并破坏其客户将构成一种攻击。

然而，目前尚不清楚黑客是如何得知这些漏洞的。这些漏洞的详细信息尚未公开，不过亨特莱斯实验室透露，“网络罪犯利用了一个任意文件上传和代码注入漏洞，并且非常有信心绕过身份验证来访问这些服务器。”

图片来源：Cybereason

据该公司首席执行官弗雷德·沃科拉（Fred Voccola）称，全球约有60家MSP和1500家下游企业因勒索软件攻击而瘫痪，其中大部分都是小问题，如牙科诊所、建筑公司、整形中心和图书馆。

与俄罗斯相关的REvil勒索软件即服务（RaaS）集团相关的黑客最初要求7000万美元的比特币，以发布用于恢复所有受影响企业数据的解密工具，尽管他们已迅速将要价降至5000万美元，表明愿意谈判他们的要求，以换取较少的金额。

卡巴斯基研究人员周一表示：“三年来，REvil勒索软件一直在地下论坛上做广告，这是RaaS业务最为丰富的业务之一，”并补充说，“该团伙在2020年的业务收入超过1亿美元。”

攻击链首先通过PowerShell脚本部署恶意滴管，该脚本通过Kaseya的VSA软件执行。

“此脚本禁用Microsoft Defender的端点保护功能，然后使用certutil.exe实用程序解码恶意可执行文件（agent.exe），该文件会删除合法的Microsoft二进制文件（MsMpEng.exe，旧版本的Microsoft Defender）和恶意库（mpsvc.dll），这是REvil勒索软件。然后，该库由合法的MSM加载。研究人员补充说：“我们可以通过利用DLL侧加载技术来实现exe。”。

该事件还导致美国网络安全和基础设施安全局（CISA）提供缓解指导，敦促企业启用多因素身份验证，将远程监控和管理（RMM）功能的通信限制在已知IP地址对，并将RMM的管理接口置于虚拟专用网络（VPN）或专用管理网络上的防火墙之后。