【編者按】從今年5月的美國最大燃油管道Colonial被黑客掐斷，引發全美范圍內的大規?？只藕吞烊粴舛倘?，再到6月全球最大肉類供應廠商JBS遭受攻擊，現在黑客的攻擊已經不僅僅是針對單個公司了，而是盯上了為成百上千公司提供服務的美國IT管理軟件供應商Kaseya。雖然這次攻擊只是影響了Kaseya的數十名直接客戶，但這數十名客戶中大部分都是托管服務提供商(MSP)，因此，勒索軟件已通過這些MSP投送給數千名客戶。其實Kaseya在黑客攻擊之前便已開始著手修補相關漏洞，沒想到卻被黑客捷足先登。

一、事件回顧

荷蘭漏洞披露協會（DIVD）通報給Kaseya的產品安全漏洞，被勒索軟件組織REvil先一步濫用，入侵滲透了Kaseya的托管服務供應商（MSPs）以及下游企業用戶。

美國托管軟件開發商Kaseya在在7月2日遭到黑客入侵，黑客借由危害該公司的遠程監控與管理軟件Kaseya VSA，針對Kaseya客戶展開REvil勒索軟件攻擊，網絡安全公司Huntress估計至少有數千家小型企業受到沖擊，而REvil則對外宣稱已加密了逾100萬個系統，此事更驚動了白宮，美國總統拜登已指示，包括FBI與CISA等美國政府組織全力協助Kaseya。

Kaseya VSA是一款統一的遠程監控與管理軟件，它能同時監控網絡并管理各種端點裝置，包括自動化各種任務、緩解IT意外，還能自動進行漏洞管理與安全修補。Kaseya除了打造就地部署的Kaseya VSA軟件之外，也提供了云端的VSA SaaS服務。

Kaseya在2日指出，黑客攻擊了本地部署的Kaseya VSA軟件，但并未危及VSA SaaS服務，建議Kaseya VSA軟件客戶立即關閉相關的服務器，且為防萬一，Kaseya也暫時關閉VSA SaaS服務。

然而，荷蘭漏洞披露協會（DIVD）表示，他們早就發現了相關漏洞，而且正與Kaseya合作進行修補，沒想到還是讓黑客捷足先登。

DIVD表示，由該協會研究人員Wietse Boonstra發現的漏洞編號為CVE-2021-30116，在通報給Kaseya之后，雙方展開密切合作以修補相關漏洞，Kaseya也與DIVD分享了部份的修補程序以進行驗證，不論從哪方面來看，都顯示出Kaseya盡了最大努力來解決安全問題，但是不料就在最后的修補沖刺階段時，漏洞卻遭黑客攻陷。

盡管Kaseya在2日時表示，全球只有不到40家采用Kaseya VSA軟件的客戶受到影響，但網絡安全公司Huntress則稱，有30家采用Kaseya VSA軟件的托管服務供應商（MSPs）受到波及，這些供應商分別位于美國、澳洲、歐洲與拉丁美洲，而它們已有超過1,000家客戶的系統被加密。

根據Huntress的分析，REvil黑客是利用Kaseya VSA網頁介面的認證缺陷，以繞過該服務的身份認證，并透過Kaseya VSA的SQL注入漏洞執行命令。

此外，Huntress也在REvil的官網上看到黑客的聲明，黑客宣稱已對眾多的MSP發動攻擊，加密了數百萬個系統，若有人想一次協商一個通用的解密工具，售價是價值7,000萬美元的比特幣。

雖然不管是DIVD或Kaseya都未公布漏洞細節，但網絡安全公司Huntress指出黑客利用的是Kaseya VSA的SQL注入漏洞，另一家網絡安全公司Double Pulsar則稱，黑客是通過Kaseya VSA以假冒的軟件安全更新程序來傳播勒索軟件。

Double Pulsar表示，由于Kaseya擁有許多托管服務供應商MSPs客戶，因此就算這些MSP客戶的客戶并未使用Kaseya產品，它們的系統也同樣會被勒索軟件加密。

這也許解釋了為何Kaseya宣稱只有不到60家的Kaseya VSA客戶受到波及，但REvil勒索軟件黑客卻宣稱已經加密了數百萬個系統的原因。

在得知客戶遭到攻擊之后，Kaseya很快就知會了FBI與CISA，并聘請FireEye與其它網絡安全公司協助緩解相關攻擊，以及找出解決之道。目前Kaseya已發布了人侵偵測工具Compromise Detection Tool供客戶部署并修補漏洞。在7月3日晚間時，約有900家客戶向Kaseya索取相關工具。

截至7月4日下午，Kaseya依舊建議Kaseya VSA客戶關閉服務器，若要重新啟用必須先安裝修補程序，至于VSA SaaS也要到7月5日才會陸續重新上線，并將關閉較少用的功能以減少潛在的攻擊表面。

FBI與CISA除了已針對該攻擊展開調查之外，還鼓勵受害者向它們通報，表示其雖然無法對每個個別的受害者做出回應，但所有的信息都將有助于應對相關威脅。

此次攻擊的規模之大也已驚動美國總統，拜登除了指示FBI等政府機關全力協助Kaseya之外，還表示目前并不確定此事是否與俄羅斯政府有關，等到他得到更完整的信息之后，將會進一步做出回應。

截至7月12日，Kaseya向VSA本地客戶發布了補丁，并開始部署到VSA SaaS基礎設施。

二、事件分析

從7月3日下午開始，REvil勒索軟件組織（又名Sodinokibi）通過一起Kaseya VSA供應鏈攻擊，攻擊了多家擁有成千上萬客戶的MSP。目前，已知有八家大型MSP因此次供應鏈攻擊而中招。

Kaseya VSA是一個基于云的MSP平臺，讓提供商們可以為客戶執行補丁管理和客戶端監控任務。所有受影響的MSP都在使用Kaseya VSA，有證據表明他們客戶的設備也被加密。大多數大規模勒索軟件攻擊都是在周末夜間進行的，這個時段監控網絡的人員比較少。

攻擊者首先通過對軟件的惡意自動更新感染受害者，最終釋放REvil/Sodinokibi勒索軟件。勒索軟件一旦在受害者的環境中活躍，就會對網絡上系統的內容進行加密，對使用該軟件的各種組織造成廣泛的操作中斷。REvil使用勒索軟件即服務(RaaS)模式運營，其附屬機構利用各種戰術、技術和程序(TTPs)感染受害者，并迫使他們付費重新訪問受勒索軟件影響的系統和數據。在許多情況下，備份服務器也成為基于網絡的勒索軟件攻擊的目標，這突顯了定期測試脫機備份和恢復策略的重要性。

• 這一事件由兩個獨立但相關的事件組成。最初的妥協是對MSP的零日攻擊的結果，這使對手能夠對其他受害者進行服務供應鏈攻擊。
• Kaseya VSA服務器的最初泄露似乎是由于成功利用了一個未修補的軟件漏洞(CVE-2021-30116)，該漏洞允許攻擊者獲得訪問脆弱Kaseya VSA服務器的特權，以進行勒索軟件部署。
• 贖金要求因受害者組織而異。這表明，一旦攻擊者獲得了對VSA服務器的訪問權，就會分析服務器配置，在激活惡意勒索軟件負載之前識別受害者。
• 沒有數據泄露活動，受感染系統上的影子副本以及活動范圍內的解密密鑰的宣傳與REvil勒索軟件攻擊期間通常觀察到的TTPs有著明顯不同。
• 確定與此攻擊相關的REvil勒索軟件樣本被配置為禁用與通常用于發送加密信息和統計數據的C2基礎設施的通信。
• 在感染過程中，將當前系統時間與2021年7月2日美國東部時間12:30進行比較。此時，執行ping功能，這將導致初始感染與系統上可能檢測到其他惡意活動之間的延遲。

需要注意的是，即使沒有成功部署勒索軟件，使用Kaseya VSA的組織也可能受到威脅。MSP是勒索軟件團伙的高價值目標，因為它們提供了一條簡易渠道，攻擊者通過一次攻擊就能感染許多公司，不過攻擊需要對MSP及其使用的軟件有深入了解。

這不是第一個在勒索軟件活動期間將遠程管理軟件用作初始入口點的實例?？紤]到Kaseya VSA通常的部署方式，許多組織由于MSP等上游服務提供商的成功妥協而成為攻擊目標，這些服務提供商與Cisco Talos在2018年發現的DNSpionage和Sea Turtle等之前的服務供應鏈攻擊類似。

其實Kaseya在黑客攻擊之前便已開始著手修補CVE-2021-30116漏洞，只是被黑客捷足先登。

雖然黑客只攻陷了本地部署的Kaseya VSA，并未危及由Kaseya提供的Kaseya VSA SaaS服務，但Kaseya一方面要求客戶關閉本地部署的Kaseya VSA，另一方面也暫時撤下Kaseya VSA SaaS服務以強化其安全性。

根據Kaseya目前的規劃，該公司將在Kaseya VSA SaaS架構上新增一層安全防擴，同時將變更Kaseya VSA SaaS服務器所使用的IP位址，呼吁把該IP地址設為白名單的客戶要記得變更。此外，針對Kaseya VSA本地部署版的安全更新，將在Kaseya VSA SaaS服務重新上線之后的24小時內發布。

自從Kaseya在7月2日遭到黑客入侵以來，提供遠程監控與管理的Kaseya VSA和Kaseya VSA SaaS服務便中斷至今，原本計劃要在7月6日重新推出Kaseya VSA SaaS，也因遭遇部署問題而延遲上線。

三、相關動態

供應鏈攻擊是所有企業的噩夢，近日在黑客入侵了IT系統管理公司Kaseya后，通過使用該公司的VSA產品來感染用戶，然后再通過勒索軟件來攻擊這些用戶。受害者中有瑞典最大的連鎖超市Coop，這是Kaseya客戶之一，該事件目前已經導致Coop約800家門店關閉。Coop的新聞發言人3日表示，負責Coop支付系統的運營商遭受黑客攻擊，導致大部分門店都被迫關閉，包括收銀臺和自助結賬在內的整個支付系統都中斷了。此外，Coop沒有使用Kaseya軟件，由于負責Coop的支付系統的運營和維護工作的Visma EssCom公司使用了該軟件而受到波及影響。

Coop只是這次黑客受害者名單中的第一個，在此前一天，黑客開始發起一場全球勒索軟件攻擊，共襲擊了超過1000多家公司，這幾乎是迄今為止全球最大規模的供應鏈黑客攻擊事件。

黑客攻擊的雖然是美國的公司，但有網絡安全專家指出，由于Kaseya的客戶屬于大型IT服務供應商，這些公司又會為數百間公司提供外包IT服務，至今已有200家公司受影響。預計受影響公司的數目會陸續增加，可能多達數千家，遍布英國、加拿大和南非等最少17個國家。

四、安全指南

CISA和FBI聯合發布了針對受到Kaseya供應鏈攻擊影響的受害者的安全指南。這兩個機構建議組織使用Kaseya提供的檢測工具來檢查他們的系統是否存在入侵跡象，并啟用多因素身份驗證(MFA)。

以下是CISA和FBI發布的對受影響的MSP的建議:

• 下載Kaseya VSA檢測工具。該檢測工具可分析系統（VSA服務器或托管端點）并確定是否存在任何危害指標（IoC）。
• 在組織控制下的每個賬戶上啟用和實施多因素身份驗證（MFA），并盡可能為面向客戶的服務啟用和實施MFA。
• 使用白名單，將具有遠程監控和管理（RMM）功能的通信限制為已知IP地址。
• 將RMM的管理接口置于虛擬專用網（VPN）或專用管理網絡上的防火墻之后。

此外，組織還應使用白名單來外部限制對其內部資產的訪問，并使用防火墻或VPN保護其遠程監控工具的管理界面。而受影響的MSP客戶需要確保備份是最新的，并且立即安裝供應商提供的最新的補丁。

參考資料：

【1】https://blog.talosintelligence.com/2021/07/revil-ransomware-actors-attack-kaseya.html

【2】https://securityaffairs.co/wordpress/119728/cyber-crime/cisa-fbi-guidance-kaseya-attack.html

【3】https://www.securityweek.com/scale-details-massive-kaseya-ransomware-attack-emerge