Длительная киберкампания с использованием вредоносного KeePass и Cobalt Strike
В последние восемь месяцев была развернута сложная и целенаправленная киберкампания, в ходе которой злоумышленники активно используют троянские программы-установщики KeePass для внедрения маяков Cobalt Strike, кражи учетных данных и запуска программ-вымогателей. Эта кампания связывается с известными группами программистов-вымогателей, такими как Black Basta и BlackCat/ALPHV.
Механизмы атаки и тактические решения
Злоумышленники применяют широкий спектр хитрых методов проникновения в сети, используя вредоносную рекламу, злоупотребление цифровыми подписями и эксплуатируя доверие к софтверу с открытым исходным кодом. Основным вредоносным инструментом выступает KeeLoader, который за период с июля 2024 по февраль 2025 года изменился как минимум пять раз, получив такие важные обновления, как:
- прямая фильтрация учетных данных;
- локальное хранение украденной информации;
- полная интеграция с Cobalt Strike.
Для повышения доверия вредоносные версии KeeLoader часто подписываются кажущимися законными или даже аннулированными сертификатами таких организаций, как S.R.L. INT-MCOM и Shenzhen Kantianxia Network Technology Co.. Это значительно увеличивает шансы успешной атаки.
Методы обхода систем обнаружения
Для того чтобы не быть замеченными антивирусными системами и средствами обнаружения угроз, злоумышленники задействуют ряд приемов:
- обфускация кода;
- шифрование полезной нагрузки с помощью RC4;
- выполнение вредоносного кода в изолированной среде (sandbox), активирующееся только при наличии доступа к базе данных KeePass.
Инфраструктура кампании и инфраструктурные особенности
Инфраструктура атаки включает тщательно спланированные домены для вредоносной рекламной деятельности, например aenys.com, на которых размещаются поддомены, имитирующие популярные и доверенные сервисы — такие как WinSCP и криптовалютные кошельки. Дополнительно применяются домены, создаваемые на основе ошибок в написании (typosquatting), например keeppaswrd.com, перенаправляющие пользователей на вредоносные сайты.
Были обнаружены серверы командования и контроля (C2) Cobalt Strike, содержащие специфические водяные знаки, напрямую указывающие на связь с группой Black Basta.
Связь с хакерской группировкой UNC4696
Эксперты с умеренной степенью уверенности связывают деятельность с группой UNC4696, которая известна своей предыдущей работой с программами-вымогателями, такими как Nitrogen Loader. Наличие уникальных водяных знаков Cobalt Strike, характерных исключительно для Black Basta, служит дополнительным подтверждением этой связи.
Гибридная тактика и особенности вымогательства
Выделяется использование гибридной тактики атаки, проявляющейся в уведомлениях о выкупе, которые внешне напоминают программу-вымогатель Akira, однако содержат идентификаторы, соответствующие хэшам KeeLoader. Это свидетельствует о развитой и адаптивной стратегии злоумышленников в рамках одной кампании.
Рекомендации по защите и противодействию
Для минимизации рисков и успешной защиты организациям рекомендуется:
- включать выявленные вредоносные домены и IP-адреса в сетевые списки блокировок;
- активно отслеживать подключения к известным IP-адресам серверов C2;
- уделять внимание обнаружению файлов, связанных с KeeLoader, а также процессам, использующим характерные команды обновления;
- старательно контролировать целостность программного обеспечения, загружая KeePass исключительно с официального сайта и проверяя контрольные суммы файлов;
- повышать готовность к атакам программ-вымогателей путем изоляции критических серверов;
- использовать многофакторную аутентификацию для административного доступа;
- регулярно проверять системы резервного копирования на предмет скомпрометированности.
Заключение: Новые тренды в кибератаках
Следует отметить, что злоумышленники медленно, но уверенно переходят от банального внедрения вредоносного ПО к модификации баз кода с открытым исходным кодом, увеличивая тем самым устойчивость и скрытность своих атак. Рост популярности программ-вымогателей как сервиса (Ransomware as a Service, RaaS) усложняет противодействие, поскольку преступные инфраструктуры активно совместно используются, создавая взаимосвязанную и сложную экосистему, которая требует скоординированных и глубоких мер безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Длительная кампания KeeLoader и Cobalt Strike связана с Black Basta".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
