HackerNews 编译,转载请注明出处:
威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本,用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。
WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现,攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。
由于KeePass是开源软件,攻击者通过修改源代码构建了名为KeeLoader的木马版本。该版本保留了密码管理器的全部正常功能,但被植入了安装Cobalt Strike信标的代码,并将KeePass密码数据库以明文形式导出,随后通过信标实施窃取。
WithSecure指出,本次活动中使用的Cobalt Strike水印与某初始访问代理(IAB)存在关联,该代理疑似曾参与Black Basta勒索软件攻击。Cobalt Strike水印是嵌入信标的唯一标识符,与生成载荷时使用的许可证绑定。
“这种水印常见于涉及Black Basta勒索软件的信标和域名。很可能是由与Black Basta密切合作的初始访问代理使用,”WithSecure解释道,“我们尚未发现其他使用此Cobalt Strike信标水印的事件(无论是勒索软件还是其他类型),但这不意味着此类事件不存在。”
研究人员发现多个KeeLoader变种已通过合法证书签名,并借助keeppaswrd[.]com、keegass[.]com和KeePass[.]me等仿冒域名传播。BleepingComputer证实,keeppaswrd[.]com网站仍在运营,持续分发带毒安装程序(VirusTotal检测记录)。
除部署Cobalt Strike信标外,木马化KeePass程序还包含密码窃取功能,可窃取用户输入的所有凭证。WithSecure报告指出:“KeeLoader不仅被改造为恶意软件加载器,其功能还被扩展以实现密码数据库窃取。当KeePass数据库被打开时,账户、登录名、密码、网站及备注信息会以CSV格式导出至%localappdata%目录,文件名采用100-999之间的随机整数值。”
在WithSecure调查的案例中,攻击最终导致该公司的VMware ESXi服务器遭勒索软件加密。进一步调查发现,攻击者构建了庞大基础设施用于分发伪装成合法工具的恶意程序,以及用于窃取凭证的钓鱼页面。
aenys[.]com域名被用于托管多个仿冒知名企业的子域名,包括WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank和DEX Screener。这些子域名分别用于分发不同恶意软件变种或实施凭证窃取。
WithSecure以中等置信度将该活动归因于UNC4696组织,该团伙此前与Nitrogen Loader攻击活动存在关联。早期的Nitrogen活动涉及BlackCat/ALPHV勒索软件。
安全专家建议用户始终从官方网站下载软件(尤其是密码管理器等高敏感度工具),并避免点击广告中的链接。即使广告显示的是软件服务的正确URL,也应保持警惕——攻击者已多次证明其有能力绕过广告政策,在显示真实URL的同时将用户导向仿冒网站。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
