点击企业密码管理器MailyState的制造商,通知其29k客户了解通过应用更新部署的29k客户

2021-04-24 05:30:26

一个神秘的威胁演员损失了企业密码管理器应用程序PasswordState的更新机制,并在其用户的设备上部署恶意软件,其中大部分是企业客户。

点击PasswordState背后的澳大利亚软件公司的Studios,今天早些时候推出了29,000名客户。

根据公司通信的副本,由波兰科技新闻网站NieBezPiecznik获得,恶意软件更新在4月20日,20:33 UTC和4月22日00:30 UTC之间生活28小时。

丹麦安全公司CSIS处理此供应链攻击的后果,今天发表了对攻击者的恶意软件的分析。

Huan Andres Guantres Guerrero-Saade,Sentinelone的主要威胁研究员表示,攻击者似乎已经获得了点击工作台服务器的访问权限,并将4KB代码添加到较旧版本的PasswordState应用程序。

安装后,该应用程序迫使受害者的密码管理器下载包含名为“moseerware.seCretsplitter.dll”的DLL文件的“passwordstate_upgrade.zip”的其他zip文件。安装后,此DLL文件将ping远程命令和控制服务器,从它所请求新命令和检索其他有效载荷。

不幸的是,一旦发现入侵,攻击者立即取下他们的C& C服务器,阻止调查人员发现攻击者所执行的额外有效载荷和其他操作。

单击工作室发布了一个修补程序包[zip],可以帮助客户删除攻击者的恶意软件,该公司命名为Moseerware。 [指令在上面的图像中]

但是,虽然尚未过度验证攻击者从受感染的系统所需的攻击,但是,由于它们受到损害的软件的性质 - 密码管理器 - Malware也很有可能从客户的密码存储完全访问。

作为Guerrero-Saade指出Twitter,有工具目前可用的工具可以解密PasswordState Vault并恢复ClearText密码。

因此,澳大利亚公司建议客户更改他们存储内部密码密码管理器中存储的所有密码。

由于这是一个密码管理器,主要以批量销售给企业,它被宣传为内部部署系统,更改密码不会涉及电子邮件和网站账户,还不会涉及电子设备,如防火墙,VPN等密码,许多员工最有可能在应用程序内保存的交换机,路由器,网络网关和其他人认为这是一个安全的本地存储系统。

“这是一个真正的恼人的违法,”英国安全公司Cyjax的恶意软件分析师威廉·托马斯告诉记录。 “想象一下,在周五,必须为网络上的每个设备更改所有密码。”