据报道,威胁行为者至少八个月以来一直在分发经过木马处理的KeePass密码管理器版本,以安装Cobalt Strike信标、窃取凭证,并最终在被攻击的网络上部署勒索软件。来源。
WithSecure的威胁情报团队在调查一起勒索软件攻击事件时发现了这一活动。研究人员发现,攻击始于通过Bing广告推广的恶意KeePass安装程序,这些广告推广假软件网站。由于KeePass是开源的,威胁行为者修改了源代码,构建了一个名为KeeLoader的木马版本,该版本包含所有正常的密码管理功能,但包括安装Cobalt Strike信标的修改,并将KeePass密码数据库作为明文导出,然后通过信标窃取。
WithSecure表示,此次活动中使用的Cobalt Strike水印与一个初始访问经纪人(IAB)有关,该经纪人被认为与过去的Black Basta勒索软件攻击有关。研究人员发现多个KeeLoader变体,这些变体已使用合法证书签名,并通过拼写错误的域名如keeppaswrd[.]com、keegass[.]com和KeePass[.]me进行传播。来源