HackerNews 编译，转载请注明出处： 威胁行为者至少持续八个月分发被植入木马的KeePass密码管理器版本，用于安装Cobalt Strike信标、窃取凭证并最终在攻陷网络中部署勒索软件。 WithSecure威胁情报团队在调查某次勒索攻击时发现了该活动。研究人员发现，攻击始于通过Bing广告推广的虚假软件网站传播恶意KeePass安装程序。 由于KeePass是开源软件，攻击者通过修改源代码构建了名为KeeLoader的木马版本。该版本保留了密码管理器的全部正常功能，但被植入了安装Cobalt Strike信标的代码，并将KeePass密码数据库以明文形式导出，随后通过信标实施窃取。 WithSecure指出，本次活动中使用的Cobalt Strike水印与某初始访问代理（IAB）存在关联，该代理疑似曾参与Black Basta勒索软件攻击。Cobalt Strike水印是嵌入信标的唯一标识符，与生成载荷时使用的许可证绑定。 “这种水印常见于涉及Black Basta勒索软件的信标和域名。很可能是由与Black Basta密切合作的初始访问代理使用，”WithSecure解释道，“我们尚未发现其他使用此Cobalt Strike信标水印的事件（无论是勒索软件还是其他类型），但这不意味着此类事件不存在。” 研究人员发现多个KeeLoader变种已通过合法证书签名，并借助keeppaswrd[.]com、keegass[.]com和KeePass[.]me等仿冒域名传播。BleepingComputer证实，keeppaswrd[.]com网站仍在运营，持续分发带毒安装程序（VirusTotal检测记录）。 除部署Cobalt Strike信标外，木马化KeePass程序还包含密码窃取功能，可窃取用户输入的所有凭证。WithSecure报告指出：“KeeLoader不仅被改造为恶意软件加载器，其功能还被扩展以实现密码数据库窃取。当KeePass数据库被打开时，账户、登录名、密码、网站及备注信息会以CSV格式导出至%localappdata%目录，文件名采用100-999之间的随机整数值。” 在WithSecure调查的案例中，攻击最终导致该公司的VMware ESXi服务器遭勒索软件加密。进一步调查发现，攻击者构建了庞大基础设施用于分发伪装成合法工具的恶意程序，以及用于窃取凭证的钓鱼页面。 aenys[.]com域名被用于托管多个仿冒知名企业的子域名，包括WinSCP、PumpFun、Phantom Wallet、Sallie Mae、Woodforest Bank和DEX Screener。这些子域名分别用于分发不同恶意软件变种或实施凭证窃取。 WithSecure以中等置信度将该活动归因于UNC4696组织，该团伙此前与Nitrogen Loader攻击活动存在关联。早期的Nitrogen活动涉及BlackCat/ALPHV勒索软件。 安全专家建议用户始终从官方网站下载软件（尤其是密码管理器等高敏感度工具），并避免点击广告中的链接。即使广告显示的是软件服务的正确URL，也应保持警惕——攻击者已多次证明其有能力绕过广告政策，在显示真实URL的同时将用户导向仿冒网站。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

目前，鉴于各平台对密码的要求越来越复杂，越来越多用户使用密码管理软件统一存储密码，虽然此举可以很好帮助用户管理账户信息，但也意味着一旦此类软件存在漏洞，很容易导致机密数据泄露。 近日，Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户的整个密码数据库。 不同于 LastPass 、BitwardenKeePass 等云托管的数据库，KeePass 允许用户使用本地存储的数据库来管理密码，并允许用户通过主密码加密数据库，以避免泄漏，这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。 但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器，从而将数据库中所有用户名和密码以明文方式导出。 据悉，当目标用户启动 KeePass 并输入主密码以解密数据库时，将触发导出规则，并将数据库内容保存到一个文件中，攻击者可以稍后将其导出到其控制的系统中。值得一提的是，整个数据库导出过程都在系统后台完成，不需要前期交互，不需要受害者输入密码，甚至不会通知受害者，悄悄导出所有数据库中存储的密码信息。 安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示，或者提供一个没有导出功能的应用程序版本。 KeePass 官方表示暂无漏洞修补措施 KeePass 官方声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的，有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。 当用户常规安装 KeePass 时，一旦攻击者具有写入权限，就可以执行各种命令，开展攻击活动，就算用户运行可移植版，威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。 上述两种情况表明，对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，而不受配置文件保护）。因此，KeePass 建议用户只有保持环境安全（使用防病毒软件、防火墙、不打开未知电子邮件附件等），才能防止此类攻击。 最后，KeePass 开发人员指出，即使用户无法获得更新版本，仍然能够通过系统管理员身份登录并创建强制配置文件来保护数据库。     转自 Freebuf，原文链接：https://www.freebuf.com/articles/356226.html 封面来源于网络，如有侵权请联系删除

被称为RomCom的黑客正在利用SolarWinds、KeePass和PDF Technologies的品牌力量，开展一系列新的攻击活动。黑莓威胁研究和情报团队在分析最近关于RomComRAT报告中发现的网络工件时，察觉到了这些活动，该报告称通过仿冒版本的高级IP扫描仪软件针对乌克兰军事机构。 RomCom在其活动中模仿了以下产品：SolarWinds网络性能监视器，KeePass开源密码管理器和PDF Reader Pro。 RomCom黑客正在积极部署针对乌克兰受害者和全球英语目标的新运动。根据TOS，英国受害者可能是一个新的目标，而乌克兰仍然是主要焦点。这是基于两个恶意网站的服务条款 （TOS） 和新创建的命令和控制 （C2） 的SSL证书。 为了应对攻击，RomCom黑客执行以下简化方案：从供应商处获取原始合法HTML代码进行欺骗，注册类似于合法域的恶意域，木马化合法应用程序，将恶意捆绑包上传到欺骗网站，向受害者部署有针对性的钓鱼电子邮件，或者使用其他感染者载体。 11月1日，该团队又有了另一项发现。RomCom黑客发起了一场新的攻击活动，滥用名为KeePass的流行密码管理器。当有人从假冒但看起来合法的KeePass网站下载应用程序时，攻击者会将一个名为“KeePass-2.52”的恶意捆绑包投放到受害者的计算机上。 RomCom RAT，古巴勒索软件和工业间谍有明显的联系。工业间谍是一个相对较新的勒索软件组织，于2022年4月出现。然而，考虑到目标的地理位置和特征，结合当前的地缘政治局势，目前尚不清楚RomCom黑客的真正动机是否纯粹是网络犯罪。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2005/ 消息来源：BlackBerry，封面来自网络，译者：Shirley。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。