Sahte KeePass Kurulumu VMware ESXi Sunucularında Fidye Yazılımı Saldırısına Yol Açtı
Siber saldırganlar, en az sekiz aydır sahte KeePass şifre yöneticisi kurulumları dağıtarak Cobalt Strike beacon’ları yerleştiriyor, kullanıcı bilgilerini çalıyor ve sonunda fidye yazılımı saldırısı düzenliyor.
Fidye Yazılımı Saldırısının Ardında KeePass Görünümlü Zararlı Yazılım Bulunuyor
Siber güvenlik firması WithSecure’ın Tehdit İstihbaratı ekibi, bir fidye yazılımı saldırısının ardından yürüttüğü soruşturmada bu kampanyayı ortaya çıkardı. Araştırmacılar, saldırının Bing reklamları aracılığıyla yayılan sahte yazılım sitelerinde sunulan sahte bir KeePass kurulum dosyasıyla başladığını tespit etti.
KeePass açık kaynaklı bir yazılım olduğu için, saldırganlar yazılımın kaynak kodunu değiştirerek “KeeLoader” adını verdikleri bir truva atı oluşturdu. Bu sahte yazılım, gerçek KeePass gibi çalışıyor ancak içerisine gizlenen Cobalt Strike beacon’ı ile kullanıcıların verilerini sızdırıyor. Özellikle KeePass veritabanındaki şifreler, açık biçimde dışarıya aktarılıyor ve saldırganlara iletiliyor.
WithSecure araştırmacıları, kullanılan Cobalt Strike beacon’larının benzersiz işaretler taşıdığını ve bu izlerin daha önce Black Basta fidye yazılımı saldırılarıyla ilişkilendirilen bir “ilk erişim sağlayıcısı” (Initial Access Broker – IAB) ile bağlantılı olduğunu belirtiyor.
Cobalt Strike işareti, beacon içine yerleştirilen ve kullanılan lisansa özel bir tanımlayıcıdır. WithSecure, bu kampanyadaki işaretin daha önce yalnızca Black Basta ile ilişkilendirilen beacon’larda görüldüğünü vurguluyor.
Araştırmalarda keeppaswrd[.]com, keegass[.]com ve KeePass[.]me gibi sahte alan adları tespit edildi. Bu sitelerde, KeePass’a çok benzeyen ancak zararlı kodlar içeren kurulum dosyaları yer alıyor. BleepingComputer tarafından yapılan doğrulamaya göre, keeppaswrd[.]com alan adı hâlâ aktif durumda ve sahte KeePass yükleyicisini dağıtmaya devam ediyor.
Zararlı yazılım yalnızca Cobalt Strike yüklemekle kalmıyor, aynı zamanda KeePass’e girilen kullanıcı adı ve şifre gibi tüm bilgileri CSV formatında dışa aktararak bilgisayarın yerel dizinlerine kaydediyor. Bu veriler, saldırganlar tarafından kolayca ele geçiriliyor.
WithSecure’un araştırması, sadece sahte KeePass yazılımıyla sınırlı kalmayan daha geniş çaplı bir kötü amaçlı yazılım dağıtım altyapısını da ortaya koydu. Saldırganlar, aenys[.]com gibi alan adları altında WinSCP, Phantom Wallet, DEX Screener ve benzeri tanınmış hizmetleri taklit eden alt alan adları oluşturarak farklı zararlı yazılımlar dağıttı. Bu faaliyetlerin, daha önce Nitrogen Loader kampanyalarıyla ilişkilendirilen ve BlackCat/ALPHV fidye yazılımı saldırılarına bağlanan UNC4696 adlı tehdit aktör grubuyla bağlantılı olduğu düşünülüyor.
Uzmanlar, özellikle şifre yöneticileri gibi hassas uygulamaların yalnızca geliştiricilerin resmî sitelerinden indirilmesi gerektiği konusunda uyarıyor. Reklamlarda doğru adres yazıyor gibi görünse bile bu bağlantılar sahte sitelere yönlendirme yapabiliyor. Bu nedenle, yazılım indirme işlemlerinde reklamlara güvenmek yerine doğrudan bilinen, güvenilir kaynaklar tercih edilmesi gerekiyor.
