Как выяснилось, вредоносный софт использовался для кражи учетных данных и последующего заражения корпоративных сетей программами-вымогателями.
Исследование было проведено аналитиками из компании WithSecure после того, как одна из организаций обратилась за помощью в расследовании инцидента с шифровкой серверов VMware ESXi. Корень атаки оказался в поддельном установщике KeePass, который распространялся через поддельные сайты, продвигаемые с помощью рекламы в Bing.
Поскольку KeePass является программой с открытым исходным кодом, злоумышленники без особого труда модифицировали его и встроили в легитимную оболочку вредоносный функционал. Эта версия получила название KeeLoader и внешне полностью повторяла оригинальный интерфейс KeePass. Однако под капотом она выполняла скрытую установку компонента Cobalt Strike — инструмента, активно используемого хакерами для закрепления в системах и управления зараженной сетью.
Кроме того, KeeLoader незаметно экспортировал все данные из базы KeePass в незашифрованном виде, включая логины, пароли, сайты и заметки, которые затем передавались злоумышленникам. Файлы выгрузки сохранялись в системной папке Windows под случайными именами и расширением .kp.
Специалисты WithSecure установили связь между применяемыми сигнатурами Cobalt Strike и ранее зафиксированной активностью группы, связанной с вымогателями Black Basta. Расследование также выявило использование злоумышленниками нескольких доменов, имитирующих популярные ресурсы, таких как keeppaswrd[.]com и keegass[.]com. На этих сайтах до сих пор размещены вредоносные установщики, подписанные легитимными цифровыми сертификатами.
В ходе атаки были зашифрованы виртуальные серверы компании, что привело к полной остановке части бизнес-процессов. Параллельно злоумышленники создали инфраструктуру для распространения вредоносных программ под видом популярных утилит и веб-сервисов. Среди поддельных сайтов обнаружены имитации таких платформ, как WinSCP, Phantom Wallet и даже крупных финансовых организаций.
По оценке специалистов, за атакой стоит группировка UNC4696, ранее замеченная в кампаниях с использованием Nitrogen Loader, в том числе связанных с вымогателями BlackCat/ALPHV.
