-
09/04/2020
-
97
-
794 bài viết
Chiến dịch tấn công ransomware qua phần mềm KeePass giả mạo
Các chuyên gia an ninh mạng vừa cảnh báo về một chiến dịch phát tán mã độc nguy hiểm kéo dài ít nhất 8 tháng, trong đó tin tặc đã phân phối phiên bản giả mạo của phần mềm quản lý mật khẩu KeePass nhằm cài Cobalt Strike, đánh cắp dữ liệu và mã hóa hệ thống bằng ransomware.
Cuộc tấn công bắt đầu từ một trình cài đặt KeePass trojan hóa, được quảng cáo thông qua kết quả tìm kiếm Bing Ads. Khi người dùng tải phần mềm từ các trang giả mạo như keeppaswrd[.]com, keegass[.]com hoặc KeePass[.]me, nạn nhân sẽ vô tình cài đặt một biến thể có tên KeeLoader.
Dù KeeLoader vẫn giữ nguyên chức năng quản lý mật khẩu như KeePass, mã nguồn đã bị chỉnh sửa để:
Trong một vụ việc cụ thể, các chuyên gia điều tra cho thấy kẻ tấn công đã mã hóa toàn bộ hệ thống máy chủ VMware ESXi của nạn nhân sau khi cài đặt thành công KeeLoader và đánh cắp thông tin.
Chiến dịch này được cho là có liên quan đến nhóm tin tặc UNC4696, cũng là kẻ đứng sau chiến dịch Nitrogen Loader từng có liên quan đến ransomware BlackCat/ALPHV.
Cuộc tấn công bắt đầu từ một trình cài đặt KeePass trojan hóa, được quảng cáo thông qua kết quả tìm kiếm Bing Ads. Khi người dùng tải phần mềm từ các trang giả mạo như keeppaswrd[.]com, keegass[.]com hoặc KeePass[.]me, nạn nhân sẽ vô tình cài đặt một biến thể có tên KeeLoader.
Dù KeeLoader vẫn giữ nguyên chức năng quản lý mật khẩu như KeePass, mã nguồn đã bị chỉnh sửa để:
- Cài đặt Cobalt Strike beacon (một công cụ hỗ trợ kiểm soát từ xa)
- Xuất toàn bộ dữ liệu cơ sở mật khẩu KeePass ở dạng cleartext (không mã hóa)
- Tự động gửi dữ liệu này đến máy chủ điều khiển của kẻ tấn công
- Đánh cắp thông tin (cơ sở dữ liệu mật khẩu KeePass)
- Cài thêm ransomware
- Kiểm soát hoặc mở rộng phạm vi tấn công
Mối liên hệ đến ransomware Black Basta và ESXi
Dấu vết watermark trên Cobalt Strike beacon cho thấy chiến dịch này có liên quan đến một nhóm truy cập ban đầu (Initial Access Broker - IAB) từng hỗ trợ phát tán ransomware Black Basta. Dữ liệu xuất từ KeePass bao gồm tên tài khoản, mật khẩu, địa chỉ website, ghi chú và được lưu tạm tại thư mục %localappdata% với đuôi .kp.Trong một vụ việc cụ thể, các chuyên gia điều tra cho thấy kẻ tấn công đã mã hóa toàn bộ hệ thống máy chủ VMware ESXi của nạn nhân sau khi cài đặt thành công KeeLoader và đánh cắp thông tin.
Hạ tầng phát tán mã độc quy mô lớn
Ngoài KeePass, hạ tầng của chiến dịch còn lợi dụng các tên miền như aenys[.]com để giả mạo nhiều dịch vụ phổ biến như WinSCP, Phantom Wallet, Woodforest Bank hay DEX Screener nhằm phát tán mã độc hoặc đánh cắp thông tin đăng nhập.Chiến dịch này được cho là có liên quan đến nhóm tin tặc UNC4696, cũng là kẻ đứng sau chiến dịch Nitrogen Loader từng có liên quan đến ransomware BlackCat/ALPHV.
Cảnh báo
Người dùng cần đặc biệt cảnh giác khi tải phần mềm quản lý mật khẩu hoặc ứng dụng nhạy cảm, chỉ nên sử dụng trang web chính thức. Không nên truy cập các liên kết trong quảng cáo, cho dù URL hiển thị có vẻ đúng, vì kẻ tấn công có thể vượt qua chính sách quảng cáo để điều hướng người dùng sang trang giả mạo.Theo Bleeping Computer
Chỉnh sửa lần cuối: