【安全资讯】假冒KeePass密码管理器导致ESXi勒索软件攻击

概要：

近期，一起针对ESXi服务器的勒索软件攻击引起了广泛关注，攻击者通过假冒的KeePass密码管理器传播恶意软件，导致用户数据泄露和系统加密。该事件不仅影响了受害企业的运营，还揭示了网络安全领域的潜在威胁。

主要内容：

攻击者在过去八个月内分发了经过篡改的KeePass密码管理器版本，利用该软件安装Cobalt Strike信标，窃取用户凭证，并最终在被攻陷的网络上部署勒索软件。WithSecure的威胁情报团队在调查一起勒索软件攻击时发现了这一活动，攻击始于通过Bing广告推广的恶意KeePass安装程序。由于KeePass是开源的，攻击者修改了源代码，构建了名为KeeLoader的恶意版本，虽然保留了正常的密码管理功能，但却包含了安装Cobalt Strike信标的修改，并以明文形式导出KeePass密码数据库。

WithSecure指出，这次活动中使用的Cobalt Strike水印与过去与Black Basta勒索软件攻击相关的初始访问代理（IAB）有关。研究人员发现，多个KeeLoader变种被合法证书签名，并通过拼写欺骗域名传播。最终，调查发现该攻击导致受害公司的VMware ESXi服务器被勒索软件加密。

此外，攻击者还创建了广泛的基础设施，伪装成合法工具和钓鱼页面，以窃取用户凭证。WithSecure将此活动归因于与Nitrogen Loader活动相关的UNC4696威胁组织。用户被建议从合法网站下载软件，尤其是像密码管理器这样的敏感软件，以避免落入攻击者的陷阱。