Istraživači WithSecurea su otkrili da osumnjičeni posrednik za početni pristup koristi trojanske verzije password manager otvorenog koda KeePass kako bi pripremio teren za napade ransomwarea.
KeeLoader: Password manager koji djeluje kao kradljivac podataka i učitava maliciozni softver
U februaru 2025. godine, evropski pružatelj IT usluga angažovao je WithSecureove timove za reagovanje na incidente kako bi pomogli u odgovoru i sanaciji nakon što je banda malicioznih napadača šifrirala skladišta podataka njihovih VMware ESXi servera.
Iako je sam napad bio relativno tipičan, ono što se isticalo bilo je korištenje nedokumentovanog programa za učitavanje malicioznog softvera koji je bio ugrađen u legitimni KeePass password manager, te mogućnost ove trojanske verzije da preuzme dodatne alate za napad (npr. Cobalt Strike beacon) i prikupi kredencijale iz KeePass baze podataka.
„Drugi trojanci ugrađeni u legitimne alate jednostavno su dodavali maliciozni sadržaj – dok ovaj slučaj ističe hakere koji su mijenjali izvorni kod i funkcionalnost legitimnih alata prije ponovnog kompajliranja i potpisivanja malicioznog softvera“, primijetili su istraživači.
KeeLoader – kako je nazvana trojanski zaražena verzija KeePass-a – spolja funkcioniše kao password manager, a činjenica da je potpisan pouzdanim certifikatima doprinosi njegovoj prikrivenosti.
„Otkrivanje u sandboxu je takođe teško jer će se maliciozne funkcionalnost manifestovati tek nakon što se baza podataka lozinki otvori u KeePassu. Nadalje, kada KeeLoader učita Cobalt Strike beacon, učitani beacon se šifrira i izvršava tek kada se backdoor ručno aktivira. Ovo smanjuje šanse za otkrivanje putem automatiziranog sandboxa malicioznog softvera“, dodali su.
Mapiranje kampanje(a)
U ovom napadu, KeeLoader je preuzet na sistem jedne organizacije sa stranice slične KeePass-u, parkirane na KeePass-info[.]aenys[.]com . Potencijalne žrtve bi završile na ovoj stranici nakon što bi bile preusmjerene putem malicioznih Bing i DuckDuckGo oglasa.
Tokom ovog angažmana, analitičari obavještajnih podataka o prijetnjama kompanije WithSecure otkrili su i niz kampanja malicioznog oglašavanja, domena s tipografskim greškama i poddomena koji su služili KeeLoaderu, Nitrogen učitavaču koji se predstavlja kao legitimni softver (WinSCP, TreeSize Free), te phishing stranicama koje se lažno predstavljaju kao finansijske institucije i usluge, kao i dokaze o aktivnom, osmomjesečnom razvoju KeeLoadera.
Drugi primjeri zaraženog KeePass-a trojancima ukazuju na kontinuirani razvoj (Izvor: WithSecure)
WithSecure tvrdi da infrastrukturne veze i preklapajući atributi artefakata raspoređenih u historijskim kampanjama ukazuju na to da je haker koji stoji iza ovih kampanja plodan saradnik ransomware-a koji vjerovatno djeluje kao početni posrednik pristupa (praćen kao “UNC4696” od strane Mandianta) – iako ne mogu biti u potpunosti sigurni.
Ono što je sigurno jeste da je maliciozno oglašavanje i maskiranje malicioznog softvera kao legitimnog softvera vrlo uspješna taktika napada, koju koriste razni hakeri. (Povremeno se neki takođe upuštaju u kompromitiranje lanca snabdijevanja i zamjenjuju instalatore legitimnog softvera na službenim stranicama .)
„Ranije neviđeno ciljanje KeePass-a i kontinuirani razvoj KeePass trojanaca radi istovremenog dobijanja pristupa mreži i korisničkim kredencijalima/digitalnom identitetu je zabrinjavajuće efikasan i opasan razvoj događaja. Ovo gotovo sigurno doprinosi ekosistemu ransomware-a gdje broj žrtava, čini se, stalno raste“, primijetili su istraživači.
Izvor:Help Net Security
