警惕！虚假的KeePass 密码管理器分发实施勒索攻击

WithSecure 的威胁情报团队在受邀调查一次勒索软件攻击时发现了该攻击活动。研究人员发现，这次攻击始于一个通过 Bing 广告推广的恶意 KeePass 安装程序，这些广告指向伪造的软件网站。

由于 KeePass 是开源的，威胁行为者篡改了其源代码，构建了一个被称为 KeeLoader 的木马版本，具备所有正常的密码管理功能。然而，该版本被修改为会安装一个 Cobalt Strike 信标，并将 KeePass 的密码数据库以明文形式导出，随后通过信标将其窃取。

WithSecure 表示，该攻击活动中使用的 Cobalt Strike 水印与一个初始访问经纪人（IAB）有关，该经纪人被认为与过去的 Black Basta 勒索软件攻击有关联。

Cobalt Strike 水印是嵌入信标中的唯一标识符，与生成该payload所用的许可证相关联。

“WithSecure” 解释道：“这种水印常见于与 Black Basta 勒索软件相关的信标和域名中。它很可能被作为初始访问经纪人运作的威胁行为者使用，并与 Black Basta 密切合作。我们目前未发现使用该 Cobalt Strike 信标水印的其他攻击事件（无论是否为勒索软件）——但这并不意味着此前没有发生过类似事件。”

研究人员已发现多个 KeeLoader 的变种，这些变种使用合法证书签名，并通过类似 keeppaswrd[.]com、keegass[.]com 和 KeePass[.]me 等域名投放。

目前已确认，keeppaswrd[.]com 网站仍在运行，并继续分发被植入木马的 KeePass 安装程序VirusTotal分析：https://www.virustotal.com/gui/file/0000cff6a3c7f7eebc0edc3d1e42e454ebb675e57d6fc1fd968952694b1b44b3。

除了投放 Cobalt Strike 信标之外，被植入木马的 KeePass 程序还包含密码窃取功能，使威胁行为者能够窃取用户在程序中输入的任何凭据。

“WithSecure 的报告写道：“KeeLoader 的修改不仅仅使其具备作为恶意软件加载器的功能，其功能还被扩展，用于泄露 KeePass 数据库的数据。”

“当 KeePass 数据库被打开时，账号、登录名、密码、网站以及备注信息也会被导出为 CSV 格式，保存在 %localappdata% 目录下，文件扩展名为 .kp。该文件名前缀为 100 到 999 之间的随机整数。”

最终，WithSecure 所调查的这次攻击导致该公司 VMware ESXi 服务器被勒索软件加密。

对该攻击活动的进一步调查发现，攻击者搭建了一个庞大的基础设施，用于分发伪装成合法工具的恶意程序，以及用于窃取凭据的钓鱼页面。

aenys[.]com 域名被用来托管多个子域名，这些子域名伪装成知名公司和服务，如 WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank 和 DEX Screener。

这些伪装站点分别被用于传播不同的恶意软件变种或窃取凭据。

WithSecure 初步猜测该攻击活动归因于威胁行为者组织 UNC4696，该组织此前与Nitrogen Loader 攻击活动有关联。此前的 Nitrogen 攻击活动曾与 BlackCat/ALPHV 勒索软件相关联。

安全专家建议：用户始终应从正规网站下载软件，尤其是像密码管理器这类高度敏感的软件，并避免点击任何广告中的链接。即使广告中显示了软件服务的正确网址，也应避免点击，因为威胁行为者已多次证明，他们能够绕过广告政策，展示合法网址，同时将用户引导至仿冒网站。

WithSecure调查详细报告：https://bbs.zkaq.cn/t/32276.html