近日，波蘭網絡安全公司REDTEAM.PL的研究人員觀察到“黑暗王國”（Black Kingdom）勒索軟件利用去年修補的Pulse Secure VPN漏洞發起攻擊。

該漏洞編號為CVE-2019-11510，CVSS得分高達10分，是Pulse Secure在企業VPN中發現的幾個安全漏洞中最為嚴重的漏洞。

該漏洞是一個任意文件讀取漏洞，允許未經身份驗證的攻擊者竊取憑據，然后將這些憑據與Pulse Secure產品中的遠程命令注入漏洞（CVE-2019-11539）結合使用，以破壞專用VPN網絡。

Pulse Secure在2019年4月發布了針對已發現漏洞的補丁程序，并在2019年8月宣布大多數客戶已經安裝了補丁，但是，似乎有不少組織未修補其系統。

在今年早些時候發布的警報中，美國網絡安全和基礎架構安全局（CISA）曾警告說，修補易受攻擊的VPN不足以將攻擊者拒之門外，特別是如果攻擊者已經利用了該漏洞。

早在去年8月業界就發現了針對該漏洞的首次網絡攻擊，但令人吃驚的是這種攻擊一直持續至今。自2019年底以來，政府贊助的攻擊者也加入了攻擊。今年1月，安全研究人員透露，勒索軟件Sodinokibi的運營商已開始針對該漏洞。

現在，“黑暗王國”勒索軟件也開始利用Pulse的VPN漏洞，其背后的攻擊者同時也正在利用CVE-2019-11510破壞企業基礎設施。

經過初期滲透后，攻擊者使用名為GoogleUpdateTaskMachineUSA的計劃任務來實現攻擊的持久性。該任務的名稱與合法的Google Chrome瀏覽器任務的名稱非常相似，但后者名稱的結尾字母是UA而不是USA。

該惡意任務會執行代碼以運行PowerShell腳本從用于發起網絡攻擊的IP地址下載其他代碼。一旦在受感染的系統上啟動并運行，勒索軟件就會將.black_kingdom擴展名附加到加密文件中。

在惡意軟件發出的贖金勒索消息中，攻擊者要求用戶支付價值1萬美元的比特幣，聲稱如果不在600分鐘之內支付贖金，他們將銷毀受害者的所有數據。攻擊者還指示受害者通過blackingdom@gszmail.com這個電子郵件地址與其聯系。