最近,WithSecure的Threat Intelligence团队发现了一个复杂的恶意软件活动,其中开源密码管理器KeePass被木相传以提供Cobalt Strike有效载荷并窃取敏感凭据。

“这不仅是一个无证的恶意软件加载器,这也是我们在开源报告中观察到的第一个例子,即一个木占领密码管理器……同时被用作装载机和凭证窃取工具。

被破坏的KeePass安装程序 – 被识别为KeePass-2.56-Setup.exe – 是通过恶意广告系列提供的,这些活动诱使用户从虚假的类似域下载。可执行文件与有效证书签名,并模仿了真正的KeePass安装程序的行为,使检测变得极其困难。

执行后,恶意软件(由WithSecure称为KeeLoader)将两个修改的可执行文件(KeePass.exe和ShInstUtil.exe)放入用户目录,并设置基于注册表的持久性机制。恶意文件(db.idx),加密并伪装成JPG,使用自定义加载器在内存中解密,并作为Cobalt Strike信标执行。

虽然KeePass似乎正常运行,但它从数据库中秘密记录凭据并将其导出到。kp文件:“帐户,登录名,密码,information网站和评论信息也以CSV格式导出为%localappdata%作为<RANDOM_INTEGER>.kp。

攻击基础设施广泛:

Fake KeePass域名,如keepaswrd[.]com,keegass[.]com和KeePass[.]me通过Bing和DuckDuckGo搜索广告进行恶意通过多个假域重定向链来自NameCheap等提供商的SSL证书,模仿合法的KeePass签名

该活动在多个版本上发展,隐身和复杂性不断增加:“创建的二进制文件几乎与合法版本相同……恶意功能只有在密码数据库打开后才会显现。

虽然由于使用Loader-as-a-Service和Bulletproof Hosting,归因仍然具有挑战性,但WithSecure发现与Black Basta和BlackCat等勒索软件组相关的重叠Cobalt Strike水印。赎金票据类似于Akira勒索软件,但包括通过洋葱邮件联系,暗示可能试图由前附属公司“独奏”:“这是不寻常的……一种现实的可能性,威胁行为者以前在勒索软件 – 即服务特许经营中工作,但在这种情况下,试图’独奏’。‘

WithSecure总结说,该活动可能是由在勒索软件生态系统中运营的资源丰富的初始访问代理精心策划的。

如果勒索软件可以比作杂草……支撑许多勒索软件事件的“即服务”生态系统可以等同于根源,确保持续的持久性和传播。

敦促组织在安装前验证哈希,避免非官方下载源,并密切监控软件行为,即使对于已知应用程序也是如此。