Tehdit aktörleri, kötü amaçlı yazılımları yaymak ve büyük ölçekli şifre hırsızlığını kolaylaştırmak için yaygın olarak kullanılan açık kaynaklı şifre yöneticisi Keepass’ı başarıyla kullandılar.
Witsecure’in olay müdahale ekibi tarafından bildirilen saldırı, Keeloader olarak adlandırılan özel bir kötü amaçlı yazılım yükleyicisi sunmak için Keepass yükleyicilerinin güvenilir sertifikalarla değiştirilmesini ve yeniden imzalanmasını içeriyordu.
Keepass aracılığıyla kötü amaçlı yazılım sunumu
Enfeksiyon zinciri, Bing ve DuckDuckgo gibi popüler arama motorlarında kötü niyetli kampanyalarla başladı ve kullanıcıları resmi Keepass siteleri olarak maskelenen hileli indirme sayfalarına yönlendirdi.
.png
)
Yüklendikten sonra değiştirilmiş Keepass yazılımı, yalnızca şifreleri yönetmek için değil, aynı zamanda kullanıcı kimlik bilgilerini de eklemek için tasarlanmış bileşenleri içeriyordu.
Keeloader, WithECure tarafından analiz edildiği gibi, Keepass’ın yürütülebilir dosyalarını değiştirir, yani KeePass.exe Ve ShInstUtil.exekötü niyetli işlevselliği dahil etmek.
Kurulum üzerine, Keepass’ın bu truva atı versiyonu bir Autorun kayıt defteri anahtarı kurar, kalıcılık sağlar ve gizlice bir kobalt grev işaretini kullanır.
Bu işaret, gizleme için RC4 şifrelemesi kullanılarak meşru bir JPG dosyası olarak maskelenir ve yalnızca bir şifre veritabanına erişildiğinde tetiklenir ve geleneksel sanal alan algılamadan kaçınır.
Kimlik Bilgisi Hırsızlığı ve Veri Defiltrasyonu
Kötü amaçlı yazılım, hesap detayları ve şifreler de dahil olmak üzere Keepass veritabanı bilgilerini sistematik olarak çıkarır ve bunları rastgele bir tamsayı dosya adı altında yerel olarak CSV formatına kaydeder.
Rapora göre, bu yöntem, muhtemelen aktif kobalt grev işaretiyle, saldırının dijital ayak izini azaltarak manuel bir alım mekanizması anlamına geliyor.
Kampanyanın altyapısı, son iki yılda birkaç yüksek profilli fidye yazılımı saldırısına bağlı kötü şöhretli bir başlangıç erişim brokeri (IAB) ile bağlantıları ortaya çıkardı.
Saldırganlar, Namecheap’te alan adı kaydı, CloudFlare’de barındıran ve kötü amaçlı yazılımlarını imzalamak için meşru sertifikalardan yararlanarak Google Trust Services’ten HTTPS sertifikaları için üç ay geçerlilik süresi kullandılar.
Bu saldırı, siber suçlu araç setindeki kötüverizasyonun etkinliğinin altını çizerek teknik olarak daha sofistike ve daha uzun kötü amaçlı yazılım damlalarına doğru bir kayma sergiliyor.
Keepass Truva atlarının sürekli gelişimi, sürekli büyüyen bir fidye yazılımı ekosistemine katkıda bulunan eşzamanlı ağ erişim uzlaşması ve dijital kimlik hırsızlığına yönelik bir eğilimi göstermektedir.
Black Basta ve Blackcat gibi bilinen fidye yazılımı gruplarının taktikleri ile örtüşme, başlangıç erişim kötü amaçlı yazılım, kötüverizasyon ve özel yükleyicilerin kullanımı ile birleştiğinde, iyi bağlantılı ve kaynaklı bir operasyon önermektedir.
Bununla birlikte, Akira fidye yazılımlarını taklit eden ancak benzersiz tanımlayıcılarla fidye notu gibi tutarsızlıklar, atıf girişimlerini karmaşıklaştırır, potansiyel “hizmet olarak” operasyonlara veya bağımsız olarak çalışan aktörlere işaret eder.
Bu olay, siber araçlar ve hizmetler için sağlam bir yeraltı pazarı tarafından şiddetlenen fidye yazılımlarından gelen sürekli tehdidi ortaya koyuyor.
Saldırı vektörlerinin, özellikle Keepass gibi güvenilir yazılımlar yoluyla sürekli evrimi, siber güvenlik endüstrisinde gelişmiş uyanıklık ve gelişmiş algılama yeteneklerini gerektirir.
Uzlaşma Göstergeleri (IOC):
| Tip | Değer |
|---|---|
| Kötü amaçlı URL’ler | hxxps: // lvshilc[.]com/keepass-2.56-setup.exe, hxxps: // keeppaswrd[.]com/download.php,… |
| Kötü niyetli alanlar | Keepass-info[.]Aenys[.]com, keeppaswrd[.]com, lvshilc[.]com,… |
| Kötü niyetli dosyalar | Keepass-2.56-setup.exe (SHA256: 0000CFF6A3C7F7EBC0EDC3D1E42E454EBB675E57D6FC1FD968952694B1B44B3),… |
| Sertifikalar | Kötü amaçlı yazılımları imzalamada kullanılan sertifika adları ve başparmak izleri,… |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!