2025-05-20 08:41:02 作者：

近期，一家网络安全研究机构发布报告指出，过去八个月中，黑客组织通过篡改知名密码管理工具 KeePass 的方式传播恶意软件，进行数据窃取，并进一步在目标网络中部署勒索程序。该攻击活动已被追踪分析，并揭示出其复杂的攻击链条。

此次攻击最早是在一次勒索软件事件调查中被发现。攻击者利用 Bing 广告投放诱导用户访问虚假网站，这些网站伪装成 KeePass 的官方下载页面，诱导用户下载被篡改的安装包。由于 KeePass 为开源软件，攻击者得以修改源代码，嵌入恶意功能，制作出被称为 KeeLoader 的后门程序。

该变种与正常版本几乎无异，表面上提供 KeePass 的常规功能，实则暗藏恶意模块。一旦运行，它会安装 Cobalt Strike 信标，用于远程控制和数据窃取。同时，攻击者还能以明文形式导出用户的密码数据库，并通过信标将数据传输出去。

分析显示，攻击者在活动中使用的 Cobalt Strike 与 Black Basta 勒索软件存在关联，表明其可能来自相同的初始入侵代理。研究人员还发现多个 KeeLoader 变种，这些变种均使用合法数字证书签名，增加了检测难度。攻击者还注册了多个拼写错误域名，如 keeppaswrdcom、keegasscom 等，用于分发恶意软件。

目前仍有部分假冒网站持续运行，继续推送恶意安装程序。除窃取密码外，KeeLoader 还具备键盘记录能力，能捕获用户输入的账号信息，并将相关数据以 CSV 格式保存在本地，进一步扩大泄露风险。已有受害企业的 VMware ESXi 服务器因此遭到勒索加密。

调查还发现，攻击方建立了广泛的基础设施，用以支持其分发与窃密行为。例如，某域名下设置多个子域，伪装成 WinSCP、PumpFun 等常用软件的官方网站，用于传播不同种类的恶意程序或进行钓鱼攻击。

这一系列行动表明，攻击者具备较高的技术水平和长期运营能力，对企业和个人用户构成严重威胁。