TAG：ransomware 勒索 Sodinokibi REvil 供应链 Kaseya

TLP：白（报告转发及使用不受限制）

日期：2021-07-03

微步情报局监测发现，2021年7月2日，总部位于迈阿密的 Kaseya 公司发布声明，确认其下产品 KASEYA VSA 软件存在漏洞，已被 REvil 黑客勒索组织利用攻击，目前已经关闭了其 SaaS 服务器，并且建议所有客户关闭 VSA 服务器。Kaseya 为托管服务提供商（MSP）提供远程管理软件服务，已知受影响的托管服务提供商包括 Synnex Corp. 和 Avtex LLC，由于 MSP 提供商的客户分布全球，导致此次事件影响范围颇广，目前瑞典最大连锁超市之一的 Coop 受此次供应链勒索攻击事件影响被迫关闭全国约500家商店服务。

当前 Kaseya 官网对该事件进行了实时报道，并与相关计算机事件响应公司积极配合，其对外宣布已正确识别并缓解了漏洞，将在今晚晚些时候向 Kaseya VSA 客户提供入侵检测工具。

样本分析

原始样本解密资源释放 MsMpEng.exe 和 mpsvc.dll 文件到 C:\Windows 目录。

通过白加黑启动加载恶意 dll 文件。

对其恶意 dll 进行分析，其导出函数 ServiceCrtMain 通过线程进行恶意代码解密。

代码采用 OpenSSL 开源代码解密 shellcode。

执行 shellcode 代码，解密勒索软件 REvil 代码本体执行。

其恶意代码本体如下：

配置文件及其配置文件功能：

根据已知情报，除了对 REvil 勒索软件进行进行流量和 yara 规则检测以外，还可以根据是否包含以下可疑命令行和可疑注册表项进行检测：

'C:Windowscert.exe'

'Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled'

'del /q /f c:kworkingagent.crt'

'Kaseya VSA Agent Hot-fix'

'AppDataLocalTempMsMpEng.exe'

'HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeBlackLivesMatter'

1. 微步在线情报团队掌握 REvil 勒索相关情报，使用微步在线相关产品的客户，请关注相关产品是否存在名为 “REvil” 或者 “Sodinokibi” 的告警，如果出现，请高优先级进行处置;
2. 排查企业邮箱/个人邮箱账户中是否收到过可疑邮件，并通过相关情报信息进行自查；
3. 如发现部分员工存在账密被盗情况，需及时修改密码，并进一步核实该邮箱是否出现过异常登陆及其他恶意行为。加强内部人员安全意识培训，勿轻信可疑邮件中包含的可疑链接；
4. 定期更换账号密码，保证密码长度与复杂度，不同系统账号尽量使用不同密码，对于重要业务平台使用多重身份验证，建立零信任模型；
5. 设置重要资料共享访问权限，定期备份关键系统和资料；
6. 定期清点公司资产，正确配置相关安全产品，对可疑告警进行及时处理，并检查软件和系统漏洞，及时更新安全补丁；
7. 使用正规渠道下载安装软件，禁止打开不明渠道共享文件。

原文始发于微信公众号（微步在线研究响应中心）：REvil 组织利用 Kaseya 0day 发起大规模供应链攻击