Tehdit Aktörlerinin KeePass Passowrd Yöneticisi Üzerinden Dağıttığı Trojanlar
Son sekiz aydır, tehdit aktörleri, KeePass şifre yöneticisinin trojanlaştırılmış versiyonlarını dağıtarak, Cobalt Strike sinyalleri yerleştirme, kimlik bilgilerini çalma ve nihayetinde fidye yazılımlarını hedef alınan ağlara yerleştirme eylemlerine imza atıyorlar. Bu durum, siber güvenlik alanında önemli endişelere yol açmaktadır.
WithSecure’ın Araştırması
WithSecure’ın Tehdit İstihbarat ekibi, bir fidye yazılımı saldırısını araştırmak amacıyla görevlendirildiğinde, bu kampanyayı keşfettiler. Araştırmalar, saldırının Bing reklâmları aracılığıyla teşvik edilen kötü niyetli KeePass yükleyicisiyle başladığını göstermektedir. Bu reklâmlar, sahte yazılım sitelerini tanıtmaktaydı.
KeePass, açık kaynaklı bir yazılım olduğundan, tehdit aktörleri kaynak kodunu değiştirerek, KeeLoader adı verilen trojanlaştırılmış bir versiyon oluşturmuşlardır. Bu versiyon, tüm normal şifre yönetimi işlevselliğini barındırırken, Cobalt Strike sinyali kuran ve KeePass şifre veritabanını açık metin olarak dışarı aktaran değişiklikler içermektedir. Dışarı aktarılan veriler daha sonra sinyal aracılığıyla çalınmaktadır.
Cobalt Strike ve Black Basta Bağlantıları
WithSecure, bu kampanyada kullanılan Cobalt Strike su işaretlerinin, geçmişte Black Basta fidye yazılımı saldırılarıyla ilişkili olduğu düşünülen bir ilk erişim aracı (IAB) ile bağlantılı olduğunu belirtiyor. Cobalt Strike su işareti, bir sinyale gömülü olan ve payload’u oluşturmak için kullanılan lisansa bağlı olan eşsiz bir tanımlayıcıdır.
Araştırmacılar, bu su işareti bağlantısıyla başka herhangi bir olayın olup olmadığını bilmediklerini, ancak şüphelenilen başka olayların olabileceğini ifade ediyorlar.
Trojanlı KeePass Versiyonlarının Dağıtımı
KeeLoader’ın birkaç farklı versiyonu, geçerli sertifikalar ile imzalanmış ve keeppaswrd[.]com, keegass[.]com gibi yanlış yazılmış alan adları aracılığıyla dağıtılmıştır. BleepingComputer, keeppaswrd[.]com web sitesinin aktif olduğunu ve hala trojanlaştırılmış KeePass yükleyicisini dağıttığını doğrulamıştır.
Trojanlaştırılmış KeePass programı, Cobalt Strike sinyalleri düşürmenin yanı sıra, kullanıcıların programa girdiği kimlik bilgilerini çalma işlevselliğine de sahiptir. Bu noktada KeeLoader’ın işlevselliği, yalnızca bir kötü amaçlı yazılım yükleyici olmanın ötesinde geliştirilmiştir.
KeePass Veritabanının Çalınması
KeePass veritabanı açıldığında, hesap, kullanıcı adı, parola ve web sitesi bilgileri gibi veriler de %localappdata% altında .kp uzantısıyla CSV formatında dışa aktarılmaktadır. Bu dışa aktarma işlemi, kullanıcıların şifrelerinin kötü niyetli kişilerce ele geçirilmesine olanak sağlamaktadır.
Yapılan incelemeler, WithSecure’ın araştırdığı saldırının, şirketin VMware ESXi sunucularının fidye yazılımla şifrelenmesiyle sonuçlandığını ortaya koymuştur. Araştırma, sahte yazılım araçları ve kimlik bilgilerini çalmaya yönelik phishing sayfalarıyla yapılan geniş bir yayılma altyapısına ulaştı.
Hedeflenen Sektörler ve Sahte Web Siteleri
aenys[.]com alan adı, WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank ve DEX Screener gibi tanınmış şirketlerden ve hizmetlerden sahte alt alanlar barındırmıştır. Bu siteler, farklı kötü amaçlı yazılım varyantlarını dağıtmak veya kimlik bilgilerini çalmak amacıyla kullanılmıştır.
WithSecure, bu etkinliği UNC4696 isimli tehdit aktörü grubuna atfediyor. Bu grup daha önce Nitrogen Loader kampanyalarıyla ilişkilendirilmiştir. Nitrogen kampanyalarının ise BlackCat/ALPHV fidye yazılımıyla bağlantılı olduğu ön görülmektedir.
Güvenlik Önlemleri ve Tavsiyeler
Kullanıcılara, özellikle hassas yazılımlar, şifre yöneticileri gibi yazılımları yalnızca meşru sitelerden indirmeleri ve reklâmlarla ilişkilendirilmiş herhangi bir siteyi kaçınmaları tavsiye edilmektedir. Bir reklâm, yazılım hizmetinin doğru URL’sini gösterse bile, tehdit aktörlerinin sahte web siteleri oluşturma yeteneği nedeniyle bu sitelerden kaçınılmalıdır.
Siber güvenlik uzmanları, kullanıcıların bu tür tehditlere karşı dikkatli olmalarını ve güvensiz kaynaklardan yazılım indirmemelerini önermektedir. Bu tür önlemler, kimlik bilgilerini ve diğer hassas verileri korumak açısından hayati önem taşımaktadır.
