กลุ่มผู้โจมตีได้ดำเนินการแพร่กระจายโปรแกรม KeePass เวอร์ชันที่ถูกฝังมัลแวร์ (Trojanized versions) มาแล้วอย่างน้อย 8 เดือน โดยมีเป้าหมายเพื่อติดตั้ง Cobalt Strike beacons, โจรกรรมข้อมูล Credentials และในท้ายที่สุดคือการติดตั้งแรนซัมแวร์ลงในระบบเครือข่ายที่เข้าถึงได้
ทีมข่าวกรองภัยภัยคุกคาม (Threat Intelligence) จาก WithSecure ได้ตรวจพบแคมเปญนี้ระหว่างการสืบสวนการโจมตีด้วยแรนซัมแวร์ โดยพบว่าการโจมตีเริ่มต้นจากโปรแกรมติดตั้ง KeePass ที่ถูกฝังมัลแวร์ผ่านการโฆษณาจาก Bing (Search Engine) ที่นำผู้ใช้งานไปยังเว็บไซต์ปลอม
เนื่องจาก KeePass เป็นซอฟท์แวร์แบบ Open-Source ผู้โจมตีจึงสามารถแก้ไข Source code และสร้างเวอร์ชันที่ฝังมัลแวร์เอาไว้ได้ ชื่อว่า KeeLoader ซึ่งมีฟังก์ชันการใช้งานตามรูปแบบปกติของโปรแกรมจัดการรหัสผ่าน แต่จะมี Cobalt Strike beacon ที่คอยดึงข้อมูลรหัสผ่านจากฐานข้อมูลในรูปแบบข้อความ (Cleartext) ก่อนจะส่งผ่านออกมาทาง Beacon
WithSecure ระบุว่า Cobalt Strike beacon ที่ถูกใช้ในแคมเปญนี้มีลักษณะรูปแบบการโจมตีเฉพาะ (Watermark) ที่เชื่อมโยงกับกลุ่ม Initial Access Broker (IAB) ที่เชื่อกันว่ามีความเกี่ยวข้องกับการโจมตีของกลุ่มแรนซัมแวร์ Black Basta ในอดีต
Cobalt Strike watermark คือรหัสเฉพาะที่ฝังอยู่ใน Beacon เพื่อตรวจสอบการสร้าง Payload
รายงานจาก WithSecure ระบุว่า "Watermark นี้จะถูกระบุในบริบทของ Beacons และ โดนเมนที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ Black Basta อยู่บ่อยครั้ง โดยมีความเป็นไปได้ว่าถูกใช้โดยกลุ่มผู้โจมตีในลักษณะ IAB ที่มีความร่วมมือใกล้ชิดกับกลุ่ม Black Basta"
"ถึงแม้ว่ายังไม่เคยพบเหตุการณ์ความเสียหาย (แรนซัมแวร์ หรืออื่น ๆ) ที่ใช้งาน Cobalt Strike beacon watermark นี้ ก็ไม่ได้หมายความว่าเหตุการณ์ดังกล่าวจะยังไม่เคยเกิดขึ้น"
นักวิจัยได้ค้นพบว่ามี KeeLoader หลายเวอร์ชันถูก signed ด้วย ceritficate ที่ถูกต้อง (Signed with Legitimate Certificates) และถูกเผยแพร่ผ่านโดเมนปลอมที่อาศัยช่องโหว่จากการพิมพ์ผิดบางตัวอักษร (Typo-Squatting) เช่น keeppaswrd[.]com, keegass[.]com และ KeePass[.]me
BleepingComputer ได้มีการยืนยันแล้วว่า เว็บไซต์ปลอม keeppaswrd[.]com ยังคงเปิดให้บริการดาวน์โหลดโปรแกรมติดตั้ง KeePass ที่ฝังมัลแวร์ไว้จนถึงปัจจุบัน อ้างอิง [VirusTotal]
โปรแกรม KeePass ปลอมนี้ ไม่ได้ถูกฝังเพียงมัลแวร์ Cobalt Strike beacons เท่านั้น แต่ยังติดตั้งโปรแกรมโจรกรรมรหัสผ่าน ซึ่งทำให้ผู้โจมตีสามารถโจรกรรมข้อมูล Credentials ที่ถูกกรอกเข้าสู่โปรแกรมได้อีกด้วย
จาก Report ของ WithSecure ยังระบุอีกว่า "KeeLoader ไม่ได้ถูกดัดแปลงให้ทำหน้าที่เป็นโปรแกรมตัวกลางสำหรับดาวน์โหลดมัลแวร์ (Malware Loader) เท่านั้น แต่ยังมีความสามารถในการโจรกรรม นำข้อมูลออกจากฐานของมูลของ KeePass ได้ด้วย"
"ซึ่งเมื่อผู้ใช้งานดำเนินการเข้าถึงฐานข้อมูลบน KeePass ข้อมูลชื่อบัญชี, ชื่อผู้ใช้งาน, รหัสผ่าน, เว็บไซต์ และข้อความที่บันทึกไว้ (Comment) จะถูกบันทึกออกมาเป็นไฟล์รูปแบบ CSV ซึ่งจะถูกเก็บไว้ชั่วคราวที่ %localappdata% นามสกุล .kp โดยมีตัวเลขที่สุ่มขึ้นในช่วงของ 100-999 กำกับไว้"
ในท้ายที่สุดแล้วนั้น จากการสืบสวนสอบสวนโดย WithSecure พบว่า แรนซัมแวร์สามารถเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทได้
และจากข้อมูลการสืบสวนสอบสวนเพิ่มเติมในแคมเปญ ยังพบว่ามีการสร้างโครงสร้างพื้นฐานขนาดใหญ่ (Extensive Infrastructure) เพื่อใช้ในการปลอมแปลง และแพร่กระจายโปรแกรมที่ฝังมัลแวร์เหล่านี้ ผ่านเครื่องมือต่าง ๆ รวมทั้งหน้าเว็บไซต์ฟิชชิ่ง (Phishing) ที่ออกแบบมาเพื่อโจรกรรมข้อมูล Credentials อีกด้วย
ซึ่งหนึ่งในโดเมนที่ถูกใช้งานคือ anys[.]com ที่ถูกใช้เป็นโฮสต์สำหรับโดเมนย่อย (Subdomains) ในการปลอมเป็นเว็บไซต์ของบริษัทหรือบริการที่น่าเชื่อถือต่าง ๆ เช่น WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank และ DEX Screener
โดยแต่ละโดเมนย่อยนั้นจะถูกใช้เพื่อแพร่กระจายมัลแวร์หลากหลายชนิด หรือเพื่อโจรกรรมข้อมูล Credentials จากเหยื่อ
WithSecure ได้ระบุว่า กิจกรรมนี้มีความเชื่อมโยงกับกลุ่มผู้โจมตี UNC4696 ซึ่งเคยถูกระบุว่ามีส่วนเกี่ยวข้องกับการโจมตีผ่านหลายแคมเปญ Nitrogen Loader มาก่อน และแคมเปญของ Nitrogen ก็ยังมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ BlackCat/ALPHV อีกด้วย
คำแนะนำ
ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่เป็นทางการ หรือแหล่งที่น่าเชื่อถือเท่านั้น โดยเฉพาะอย่างยิ่งซอฟต์แวร์ที่เกี่ยวข้องกับข้อมูลที่มีความสำคัญ เช่น Password Manager
หลีกเลี่ยงการคลิกลิงก์จากโฆษณา ถึงแม้ว่าโฆษณาดูเหมือนจะแสดง URL ที่ถูกต้องก็ตาม เนื่องจากผู้โจมตีสามารถหลบเลี่ยงนโยบายของแพลตฟอร์มโฆษณา และเปลี่ยนปลายทาง (Redirect) ไปยังเว็บไซต์ปลอมได้
ที่มา: bleepingcomputer.