ESXi 勒索软件通过伪造的 KeePass 密码管理器进行攻击

近期，WithSecure 的威胁情报团队发现威胁行为者至少八个月来一直在分发 KeePass 密码管理器的木马版本并窃取数据然后部署勒索软件。该木马称为 KeeLoader，在原有基础上它进行了修改，包括安装 Cobalt Strike 信标，并将 KeePass 密码数据库导出为明文，然后通过信标进行窃取。最终，WithSecure 调查的攻击导致该公司的 VMware ESXi 服务器被勒索软件加密。对该活动的进一步调查发现，该活动已建立了一个庞大的体系，用于分发伪装合法工具的恶意程序和窃取凭证的网络钓鱼页面。