已肆虐至少 8 個月：惡意 KeePass 密碼管理工具暗藏木馬，竊取密碼、部署勒索軟件

IT之家 5 月 20 日消息，網(wǎng)絡安全公司 WithSecure 最新披露 [PDF]，網(wǎng)絡黑客至少在過去八個月內(nèi)，通過篡改 KeePass 密碼管理器，傳播惡意版本，安裝 Cobalt Strike 信標，竊取用戶憑據(jù)，并在被攻破的網(wǎng)絡上部署勒索軟件[IT江湖]。

該公司在調(diào)查一起勒索軟件[IT江湖]攻擊時，發(fā)現(xiàn)了這一惡意活動。攻擊始于通過 Bing 廣告推廣的惡意 KeePass 安裝程序，這些廣告引導用戶訪問偽裝成合法軟件[IT江湖]的網(wǎng)站。

由于 KeePass 是開源軟件[IT江湖]，威脅行為者修改了源代碼，開發(fā)出名為 KeeLoader 的木馬版本，看似正常運行密碼管理功能，卻暗藏玄機：會安裝 Cobalt Strike 信標，并以明文形式導出 KeePass 密碼數(shù)據(jù)庫，隨后通過信標竊取數(shù)據(jù)。

據(jù)悉，此次活動中使用的 Cobalt Strike 水印關聯(lián) Black Basta 勒索軟件[IT江湖]，指向同一個初始訪問代理（IAB）。

研究人員發(fā)現(xiàn)多個 KeeLoader 變種，這些變種使用合法證書簽名，并通過拼寫錯誤域名（如 keeppaswrdcom、keegasscom）傳播。

IT之家援引 BleepingComputer 博文介紹，如 keeppaswrdcom 等部分偽裝網(wǎng)站仍在活動，繼續(xù)分發(fā)惡意 KeePass 安裝程序。

此外，KeeLoader 不僅植入 Cobalt Strike 信標，還具備密碼竊取功能，能直接捕獲用戶輸入的憑據(jù)，并將數(shù)據(jù)庫數(shù)據(jù)以 CSV 格式導出，存儲在本地目錄下，并導致受害公司的 VMware ESXi 服務器被勒索軟件[IT江湖]加密。

進一步調(diào)查揭示，威脅行為者構(gòu)建了龐大基礎設施，分發(fā)偽裝成合法工具的惡意程序，并通過釣魚頁面竊取憑據(jù)。例如，aenyscom 域名托管多個子域名，偽裝成 WinSCP、PumpFun 等知名服務，用于分發(fā)不同惡意軟件[IT江湖]或竊取憑據(jù)。