Ερευνητές της WithSecure αποκάλυψαν μακροχρόνια κακόβουλη καμπάνια, στην οποία χρησιμοποιούνται παραποιημένες εκδόσεις του δημοφιλούς password manager KeePass, με στόχο την εγκατάσταση Cobalt Strike beacons, την κλοπή credentials και την ανάπτυξη ransomware.
Η ανακάλυψη έγινε στο πλαίσιο διερεύνησης περιστατικού ransomware, όπου εντοπίστηκε trojanized installer για το KeePass, που διανέμονταν μέσω παραπλανητικών διαφημίσεων στο Bing, οδηγώντας τους χρήστες σε ψεύτικους ιστότοπους λογισμικού.
Εκμεταλλευόμενοι τη φύση ανοιχτού κώδικα του KeePass, οι επιτιθέμενοι τροποποίησαν τον πηγαίο κώδικα για να δημιουργήσουν μια παραλλαγή με την ονομασία KeeLoader. Το τροποποιημένο λογισμικό διατηρεί πλήρως τη λειτουργικότητα του αυθεντικού KeePass, αλλά εμπεριέχει κακόβουλο κώδικα που εγκαθιστά Cobalt Strike beacon και εξάγει το KeePass password database σε μορφή απλού κειμένου.
Δείτε επίσης: Ransomware συμμορίες χρησιμοποιούν το Skitnet malware
Σύμφωνα με τη WithSecure, τα Cobalt Strike watermarks που παρατηρήθηκαν συνδέονται με έναν initial access broker (IAB) που στο παρελθόν είχε συνδεθεί με επιθέσεις του Black Basta ransomware.
Οι ερευνητές της WithSecure αποκάλυψαν την ύπαρξη πολλαπλών παραλλαγών του κακόβουλου KeeLoader, οι οποίες κυκλοφορούν υπογεγραμμένες με έγκυρα ψηφιακά πιστοποιητικά και διανέμονται μέσω παραπλανητικών typo-squatting domains, όπως τα keeppaswrd[.]com, keegass[.]com και KeePass[.]me.
Η ομάδα του BleepingComputer επιβεβαίωσε ότι τουλάχιστον ένας από αυτούς τους ιστότοπους – συγκεκριμένα το keeppaswrd[.]com – παραμένει ενεργός και συνεχίζει να διανέμει το μολυσμένο αρχείο εγκατάστασης, σύμφωνα με σχετική καταγραφή στο VirusTotal.
Πέρα από την εγκατάσταση Cobalt Strike beacons για απομακρυσμένο έλεγχο, οι παραποιημένες εκδόσεις του KeePass διαθέτουν και μηχανισμό κλοπής κωδικών πρόσβασης. Έτσι, οι επιτιθέμενοι αποκτούν πρόσβαση σε όλα τα credentials που εισάγονται στην εφαρμογή.
«Το KeeLoader δεν περιορίστηκε στον ρόλο ενός απλού malware loader», αναφέρει η WithSecure στην αναφορά της. «Η λειτουργικότητά του έχει ενισχυθεί ώστε να επιτρέπει την εξαγωγή KeePass database data».
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Συγκεκριμένα, όταν ανοίγει μια βάση δεδομένων του KeePass, η εφαρμογή εξάγει αυτόματα τα περιεχόμενα — ονόματα λογαριασμών, usernames, passwords, website και σχόλια — σε αρχείο CSV, το οποίο αποθηκεύεται στο %localappdata% με την επέκταση .kp .
Η επίθεση που ερεύνησε η WithSecure κορυφώθηκε με την επιτυχημένη εγκατάσταση ransomware στους VMware ESXi servers της θιγόμενης εταιρείας, υποδεικνύοντας ότι η μόλυνση με το KeeLoader αποτέλεσε το σημείο εκκίνησης μιας ευρύτερης επίθεσης σε επίπεδο υποδομής.
Περαιτέρω έρευνα βρήκε μια εκτεταμένη υποδομή που δημιουργήθηκε για τη διανομή κακόβουλων προγραμμάτων μεταμφιεσμένων ως νόμιμων εργαλείων και σελίδων phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων.
Το domain aenys[.]com αξιοποιήθηκε για τη φιλοξενία πρόσθετων subdomains που μιμούνταν γνωστές πλατφόρμες και επιχειρήσεις, όπως WinSCP, Phantom Wallet, PumpFun, Sallie Mae, Woodforest Bank και DEX Screener. Το κάθε subdomain χρησιμοποιούνταν είτε για τη διανομή κακόβουλων φορτίων είτε για την υποκλοπή credentials μέσω phishing τεχνικών.
Σύμφωνα με την ανάλυση της WithSecure, η συγκεκριμένη κακόβουλη δραστηριότητα συνδέεται πιθανότατα με την ομάδα UNC4696.
Δείτε επίσης: Hackers κρύβουν ransomware σε εικόνες JPG
Οι ειδικοί ασφαλείας προειδοποιούν ότι ακόμα και φαινομενικά αξιόπιστες διαφημίσεις μπορεί να αποτελούν παγίδες. Οι φορείς απειλών καταφέρνουν όλο και συχνότερα να παρακάμπτουν τις πολιτικές ασφαλείας των διαφημιστικών δικτύων, προβάλλοντας νόμιμες διευθύνσεις URL που, ωστόσο, οδηγούν τελικά σε κακόβουλους ιστότοπους.
Για την αποφυγή κινδύνων, συνιστάται η λήψη ευαίσθητου λογισμικού μόνο από τις επίσημες ιστοσελίδες των παρόχων και η αποφυγή χρήσης συνδέσμων από διαφημίσεις ή μη επιβεβαιωμένες πηγές.
Όπως προείπαμε, η επίθεση με το ψεύτικο KeePass οδήγησε σε ransomware επίθεση. Οι οργανισμοί πρέπει να λαμβάνουν μέτρα για να προστατευτούν από αυτή την απειλή:
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποίηση firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυο
- Κρυπτογράφηση ευαίσθητων δεδομένων
- Ενημέρωση των συσκευών και των συστημάτων με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξαγωγή τακτικών ελέγχων ασφαλείας και penetration testing
- Χρήση ισχυρών, μοναδικών κωδικών πρόσβασης
- Περιορισμός της πρόσβασης των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Χρήση λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Σχέδιο ανάκαμψης για γρήγορη αποκατάσταση
Πηγή: www.bleepingcomputer.com
