已肆虐至少 8 個月：惡意 KeePass 密碼管理工具暗藏木馬，竊取密碼、部署勒索軟件

IT之家 5 月 20 日消息，網絡安全公司 WithSecure 最新披露 [PDF]，網絡黑客至少在過去八個月內，通過篡改 KeePass 密碼管理器，傳播惡意版本，安裝 Cobalt Strike 信標，竊取用戶憑據，并在被攻破的網絡上部署勒索軟件[IT江湖]。

該公司在調查一起勒索軟件[IT江湖]攻擊時，發現了這一惡意活動。攻擊始于通過 Bing 廣告推廣的惡意 KeePass 安裝程序，這些廣告引導用戶訪問偽裝成合法軟件[IT江湖]的網站。

由于 KeePass 是開源軟件[IT江湖]，威脅行為者修改了源代碼，開發出名為 KeeLoader 的木馬版本，看似正常運行密碼管理功能，卻暗藏玄機：會安裝 Cobalt Strike 信標，并以明文形式導出 KeePass 密碼數據庫，隨后通過信標竊取數據。

據悉，此次活動中使用的 Cobalt Strike 水印關聯 Black Basta 勒索軟件[IT江湖]，指向同一個初始訪問代理（IAB）。

研究人員發現多個 KeeLoader 變種，這些變種使用合法證書簽名，并通過拼寫錯誤域名（如 keeppaswrdcom、keegasscom）傳播。

IT之家援引 BleepingComputer 博文介紹，如 keeppaswrdcom 等部分偽裝網站仍在活動，繼續分發惡意 KeePass 安裝程序。

此外，KeeLoader 不僅植入 Cobalt Strike 信標，還具備密碼竊取功能，能直接捕獲用戶輸入的憑據，并將數據庫數據以 CSV 格式導出，存儲在本地目錄下，并導致受害公司的 VMware ESXi 服務器被勒索軟件[IT江湖]加密。

進一步調查揭示，威脅行為者構建了龐大基礎設施，分發偽裝成合法工具的惡意程序，并通過釣魚頁面竊取憑據。例如，aenyscom 域名托管多個子域名，偽裝成 WinSCP、PumpFun 等知名服務，用于分發不同惡意軟件[IT江湖]或竊取憑據。