近期,網(wǎng)絡(luò)安全領(lǐng)域迎來了一起令人矚目的安全事件。網(wǎng)絡(luò)安全解決方案提供商WithSecure發(fā)布了一份詳細(xì)報(bào)告,揭示了網(wǎng)絡(luò)黑客在過去至少八個月中,通過篡改廣受歡迎的開源密碼管理器KeePass,實(shí)施了一系列復(fù)雜的攻擊。
事件的起因是WithSecure在調(diào)查一起勒索軟件攻擊案件時,意外發(fā)現(xiàn)了這一精心策劃的惡意活動。黑客們利用Bing廣告作為誘餌,投放了指向惡意KeePass安裝程序的廣告,這些廣告將用戶引導(dǎo)至偽裝成官方下載頁面的網(wǎng)站,從而誘使用戶下載并安裝了被篡改的KeePass軟件。
KeePass作為一款開源軟件,其源代碼的易獲取性成為了黑客們的目標(biāo)。他們修改了源代碼,創(chuàng)造了一個名為KeeLoader的木馬版本。這個版本表面上看似與普通KeePass無異,能夠正常執(zhí)行密碼管理功能,但實(shí)際上卻暗藏殺機(jī)。一旦用戶安裝并運(yùn)行,KeeLoader便會悄無聲息地安裝Cobalt Strike信標(biāo),并導(dǎo)出KeePass密碼數(shù)據(jù)庫中的信息,以明文形式展示,隨后通過Cobalt Strike信標(biāo)竊取用戶的敏感數(shù)據(jù)。
經(jīng)過深入分析,WithSecure的研究人員發(fā)現(xiàn),此次攻擊中使用的Cobalt Strike水印與臭名昭著的Black Basta勒索軟件相關(guān)聯(lián),指向了同一個初始訪問代理(IAB)。他們還發(fā)現(xiàn)了多個KeeLoader的變種,這些變種不僅使用了合法的證書進(jìn)行簽名,以增加其欺騙性,還通過一系列拼寫錯誤的域名(如keeppaswrdcom、keegasscom)進(jìn)行傳播,進(jìn)一步迷惑用戶。
更令人擔(dān)憂的是,部分偽裝成KeePass官方網(wǎng)站的惡意站點(diǎn)仍在活躍,繼續(xù)分發(fā)被篡改的KeePass安裝程序,對用戶的網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。據(jù)BleepingComputer的報(bào)道,這些站點(diǎn)仍在利用用戶的疏忽,將惡意軟件傳播給更多無辜的受害者。
KeeLoader的功能不僅限于植入Cobalt Strike信標(biāo),它還具備直接的密碼竊取能力。黑客們通過KeeLoader捕獲用戶輸入的憑據(jù),并將數(shù)據(jù)庫中的數(shù)據(jù)以CSV格式導(dǎo)出,存儲在本地目錄下。這一行為不僅侵犯了用戶的隱私,還導(dǎo)致了一些受害公司的VMware ESXi服務(wù)器被勒索軟件加密,遭受了嚴(yán)重的經(jīng)濟(jì)損失。
在進(jìn)一步的調(diào)查中,WithSecure的研究人員發(fā)現(xiàn),黑客們構(gòu)建了一個龐大的基礎(chǔ)設(shè)施,用于分發(fā)偽裝成合法工具的惡意程序,并通過釣魚頁面竊取用戶的憑據(jù)。例如,他們利用aenyscom域名托管了多個子域名,這些子域名偽裝成WinSCP、PumpFun等知名服務(wù),用于分發(fā)不同種類的惡意軟件或竊取用戶的登錄憑據(jù)。
