СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.05.2025
#Dev#ИБ

Новый троян KeeLoader: угроза от тех, кому доверяем

Новый троян KeeLoader: угроза от тех, кому доверяем

В феврале 2025 года в ходе реагирования на инциденты, проведенного компанией WithSecure, был обнаружен новый троянский загрузчик вредоносных программ, известный как KeeLoader. Этот вредоносный софт используется для развертывания других вредоносных программ и извлечения конфиденциальных данных из баз данных менеджера паролей.

Атака, связанная с компанией Initial Access Broker (IAB), известной своей историей громких взломов программ-вымогателей, продемонстрировала новый подход к киберугрозам. Анализ показал, что законный менеджер паролей KeePass с открытым исходным кодом был модифицирован и подписан доверенными сертификатами, что позволяло распространять вредоносную версию.

Как работает KeeLoader?

Установка KeeLoader выглядела как стандартная программа установки KeePass, но содержала изменения, облегчающие кражу учетных данных и запуск Cobalt Strike beacon. Важные факты о работе KeeLoader:

  • Минимальные изменения в легальных исполняемых файлах, что позволяло обойти обычные методы обнаружения.
  • Удаление модифицированного исполняемого файла KeePass и программы ShInstUtil, что способствовало автозапуску вредоносного ПО.
  • Скрытая полезная нагрузка Cobalt Strike была замаскирована под JPG и зашифрована с использованием RC4.

Тактика и методы злоумышленников

Хакеры задействовали изощренные методы для обхода обнаружения, в том числе:

  • Многочисленные маяки Cobalt Strike, подключенные к разным областям командования и контроля (C2).
  • Использование различных доменов в сети вредоносной рекламы для распространения KeeLoader.
  • Атака была вызвана непреднамеренной загрузкой через мошенническую рекламу KeePass, найденную в результатах поиска Bing.

Значение инцидента

Этот инцидент подчеркивает потребность в постоянной адаптации технологий обнаружения в борьбе с все более скрытными вредоносными программами. Как отметил аналитик WithSecure: “Наличие действительных сертификатов для подписи вредоносного ПО усложняет усилия по обнаружению и указывает на высокие ресурсы злоумышленников.”

Разработка троянского программного обеспечения KeePass свидетельствует о постоянных инвестициях хакеров в свои операционные возможности, а также о необходимости усиливать меры безопасности, чтобы защититься от новых угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: