攻击者至少八个月来一直在分发 KeePass 密码管理器的木马版本,以安装 Cobalt Strike 信标、窃取凭据,并最终在被攻破的网络上部署勒索软件。
WithSecure 的威胁情报团队在调查一起勒索软件攻击后发现了这一活动。研究人员发现,此次攻击始于一个恶意的 KeePass 安装程序,该安装程序通过推广虚假软件网站的 Bing 广告进行推广。
由于 KeePass 是开源软件,攻击者修改了其源代码,构建了一个被木马化的版本,名为 KeeLoader,其中包含所有常规密码管理功能。然而,它包含一些修改,包括安装 Cobalt Strike 信标,并将 KeePass 密码数据库导出为明文,然后通过该信标进行窃取。
WithSecure 表示,此次活动中使用的 Cobalt Strike 水印与初始访问代理 (IAB) 相关联,据信该代理与过去的 Black Basta 勒索软件攻击有关。
Cobalt Strike 水印是嵌入在信标中的唯一标识符,与用于生成有效载荷的许可证相关联。
WithSecure解释道:“此水印通常在与 Black Basta 勒索软件相关的信标和域名中出现。它很可能被与 Black Basta 密切合作的初始访问代理 (IMB) 威胁行为者所利用。”
“我们不知道有任何其他事件(勒索软件或其他)使用此 Cobalt Strike 信标水印——但这并不意味着它没有发生过。”
研究人员发现,KeeLoader 有多种变种,这些变种使用合法证书进行签名,并通过诸如 keeppaswrd[.]com、keegass[.]com 和 KeePass[.]me 等域名抢注进行传播。
BleepingComputer 已确认 keeppaswrd[.]com 网站仍然活跃,并继续分发被木马感染的 KeePass 安装程序 [ VirusTotal ]。
除了投放 Cobalt Strike 信标之外,被木马感染的 KeePass 程序还具有密码窃取功能,允许攻击者窃取输入到程序中的任何凭据。
WithSecure 报告写道:“KeeLoader 不仅被修改到可以充当恶意软件加载器。它的功能还被扩展,以便于窃取 KeePass 数据库数据,”。
“当 KeePass 数据库数据打开时,帐户、登录名、密码、网站和评论信息也会以 .kp 格式导出到 %localappdata% 下的 CSV 格式中。这个随机整数值介于 100-999 之间。”
最终,WithSecure 调查的攻击导致该公司的 VMware ESXi 服务器被勒索软件加密。
对该活动的进一步调查发现,该活动已建立了一个庞大的基础设施,用于分发伪装成合法工具的恶意程序和旨在窃取凭证的网络钓鱼页面。
aenys[.]com 域名被用来托管其他子域名,这些子域名冒充知名公司和服务,例如 WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank 和 DEX Screener。
这些恶意软件均用于传播不同的恶意软件变种或窃取凭证。
WithSecure 将此活动归咎于 UNC4696,该组织此前曾与Nitrogen Loader 活动有关。此前,Nitrogen 活动与 BlackCat/ALPHV 勒索软件有关。
始终建议用户从合法网站下载软件,尤其是密码管理器等高度敏感的软件,并避免任何与广告链接的网站。
即使广告显示了软件服务的正确 URL,也应该避免,因为威胁行为者已多次证明,他们可以绕过广告政策来显示合法 URL,同时链接到冒名顶替的网站。
原文始发于微信公众号(犀牛安全):伪造的 KeePass 密码管理器导致 ESXi 勒索软件攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4204378.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论