Οι ηθοποιοί απειλών διανέμουν δίδυμες εκδόσεις του διαχειριστή κωδικών πρόσβασης Keepass για τουλάχιστον οκτώ μήνες για να εγκαταστήσουν τους Beacons Cobalt Strike, να κλέψουν διαπιστευτήρια και τελικά να αναπτύξουν ransomware στο παραβιασμένο δίκτυο.
Με την ομάδα Intelligence της απειλής της Secure ανακάλυψε την εκστρατεία αφού εισήχθησαν για να διερευνήσουν μια επίθεση ransomware. Οι ερευνητές διαπίστωσαν ότι η επίθεση ξεκίνησε με ένα κακόβουλο εγκαταστάτη Keepass που προωθήθηκε μέσω διαφημίσεων Bing που προώθησαν ψεύτικους ιστότοπους λογισμικού.
Καθώς το Keepass είναι ανοιχτό κώδικα, οι ηθοποιοί απειλών άλλαξαν τον πηγαίο κώδικα για να δημιουργήσουν μια τροζανική έκδοση, που ονομάστηκε Keeloader, που περιέχει όλες τις κανονικές λειτουργίες διαχείρισης κωδικών πρόσβασης. Ωστόσο, περιλαμβάνει τροποποιήσεις που εγκαθιστούν ένα Beacon Strike Cobalt και εξάγουν τη βάση δεδομένων Password Keepass ως ClearText, το οποίο στη συνέχεια κλαπεί μέσω του φάρου.
Με το Secure λέει ότι τα υδατογραφήματα που χρησιμοποιούνται σε αυτή την καμπάνια συνδέονται με έναν αρχικό μεσίτη πρόσβασης (IAB) που πιστεύεται ότι συνδέεται με τις επιθέσεις Black Basta Ransomware στο παρελθόν.
Το Watermark Strike Cobalt είναι ένα μοναδικό αναγνωριστικό ενσωματωμένο σε ένα φάρο που συνδέεται με την άδεια που χρησιμοποιείται για τη δημιουργία του ωφέλιμου φορτίου.
“Αυτό το υδατογράφημα παρατηρείται συνήθως στο πλαίσιο των φάρων και των τομέων που σχετίζονται με το Black Basta Ransomware. Είναι πιθανό να χρησιμοποιηθεί από απειλές που λειτουργούν ως αρχικοί μεσίτες πρόσβασης που συνεργάζονται στενά με το Black Basta”, εξηγεί, εξηγεί Με δευτερόλεπτο.
“Δεν γνωρίζουμε άλλα περιστατικά (ransomware ή με άλλο τρόπο) χρησιμοποιώντας αυτό το υδατογράφημα Beacon Cobalt Strike – αυτό δεν σημαίνει ότι δεν έχει συμβεί”.
Οι ερευνητές έχουν βρει πολλαπλές παραλλαγές του Keeloader έχουν ανακαλυφθεί, υπογεγραμμένα με νόμιμα πιστοποιητικά και εξαπλώθηκαν μέσω τομέων τυπογραφίας όπως το keeppaswrd[.]com, keegass[.]com, και keepass[.]μου.
Ο BleepingComputer επιβεβαίωσε ότι το keeppaswrd[.]Ο ιστότοπος COM εξακολουθεί να είναι ενεργός και συνεχίζει να διανείμει τον εγκαταστάτη Trojanized Keepass [VirusTotal].
Πηγή: BleepingComputer
Εκτός από την απόρριψη των Beacons Cobalt Strike, το trojanized πρόγραμμα Keepass περιελάμβανε τη λειτουργικότητα με κωδικό πρόσβασης που επέτρεψε στους ηθοποιούς απειλής να κλέψουν τυχόν διαπιστευτήρια που εισήχθησαν στο πρόγραμμα.
“Το Keeloader δεν τροποποιήθηκε μόνο στο βαθμό που θα μπορούσε να λειτουργήσει ως φορτωτής κακόβουλου λογισμικού. Η λειτουργικότητά του επεκτάθηκε για να διευκολυνθεί η εξάντληση των δεδομένων βάσης δεδομένων Keepass”, αναφέρει η αναφορά WithSecure.
“Όταν ανοίχτηκαν τα δεδομένα βάσης δεδομένων Keepass, ο λογαριασμός, το όνομα σύνδεσης, ο κωδικός πρόσβασης, ο ιστότοπος και οι πληροφορίες σχολίων εξάγονται επίσης σε μορφή CSV κάτω από % localappdata % ως .kp. Αυτή η τυχαία ακέραια τιμή είναι μεταξύ 100-999.”
Πηγή: με Secure
Τελικά, η επίθεση που διερευνήθηκε από το Secure οδήγησε στους διακομιστές ESXI της εταιρείας ESXI που κρυπτογραφούνται με ransomware.
Περαιτέρω διερεύνηση της εκστρατείας διαπίστωσε μια εκτεταμένη υποδομή που δημιουργήθηκε για τη διανομή κακόβουλων προγραμμάτων που συγκαλύφθηκαν ως νόμιμα εργαλεία και σελίδες ηλεκτρονικού “ψαρέματος” που έχουν σχεδιαστεί για να κλέψουν διαπιστευτήρια.
Το Aenys[.]Το COM Domain χρησιμοποιήθηκε για να φιλοξενήσει επιπλέον υποτομείς που μιμούνται γνωστές εταιρείες και υπηρεσίες, όπως WinsCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank και Dex Screener.
Κάθε ένα από αυτά χρησιμοποιήθηκε για τη διανομή διαφορετικών παραλλαγών κακόβουλου λογισμικού ή των διαπιστευτηρίων κλέβει.
Με το Secure αποδίδει αυτή τη δραστηριότητα με μέτρια εμπιστοσύνη στο UNC4696, μια ομάδα απειλών ηθοποιού που προηγουμένως συνδέθηκε με καμπάνιες φορτωτή αζώτου. Οι προηγούμενες εκστρατείες αζώτου συνδέονταν με το blackcat/alphv ransomware.
Οι χρήστες συμβουλεύονται πάντα να κατεβάζουν το λογισμικό, ειδικά ιδιαίτερα ευαίσθητοι, όπως διαχειριστές κωδικών πρόσβασης, από νόμιμους ιστότοπους και αποφεύγουν οποιονδήποτε ιστότοπο που συνδέονται με διαφημίσεις.
Ακόμη και αν μια διαφήμιση εμφανίζει τη σωστή διεύθυνση URL για μια υπηρεσία λογισμικού, θα πρέπει να αποφευχθεί, καθώς οι ηθοποιοί απειλών έχουν αποδείξει επανειλημμένα ότι μπορούν να παρακάμψουν τις πολιτικές διαφημίσεων για να εμφανίσουν τη νόμιμη διεύθυνση URL ενώ συνδέονται με τους απατεώνες.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
