Click Studios, компания, стоящая за корпоративным менеджером паролей Passwordstate, уведомила клиентов о том, что злоумышленники взломали механизм обновления приложения, чтобы доставить вредоносное ПО по цепочке поставок.
Passwordstate - это локальное решение для управления паролями, которым, по заявлению компании, пользуются более 370 000 специалистов по безопасности и IТ в 29 000 компаний по всему миру. В его список клиентов входят компании (многие из которых входят в рейтинг Fortune 500) из широкого спектра отраслей, включая правительство, оборону, финансы, аэрокосмическую промышленность, розничную торговлю, автомобилестроение, здравоохранение, юриспруденцию и средства массовой информации.
«Первоначальный анализ показывает, что злоумышленник, использующий сложные методы, скомпрометировал функциональность обновления на месте», - сообщила Click Studios клиентам в электронном письме. «Любое обновление, выполненное между 20 апреля и 22 апреля, могло привести к загрузке искаженного Passwordstate, - добавила компания.
«Злоумышленники грубо добавили код в раздел «Загрузчик», - сказал Дж. А. Герреро-Сааде, главный исследователь угроз SentinelOne. «На первый взгляд, у загрузчика есть функция для извлечения полезной нагрузки и код для анализа глобальных настроек хранилища PasswordState.
После развертывания вредоносная программа будет собирать системную информацию и данные Passwordstate, которые позже отправляются на серверы, контролируемые злоумышленником.
Серверы CDN, использованные в атаке, больше недоступны, так как они были отключены с 22 апреля. Click Studios советует клиентам, которые обновили свой клиент во время взлома, сбросить все пароли в своей базе данных Passworrdstate. Компания также выпустила исправление, чтобы помочь пользователям Passwordstate удалить вредоносное ПО, получившее название Moserware.
Индикаторы компрометации (IOC), включая хэш вредоносного загрузчика и один из адресов командно-административного сервера, были ранее предоставлены компанией CSIS Security Group A / S, занимающейся кибербезопасностью, после анализа одной из мошеннических DLL, развернутых в этой атаке. «ClickStudios упомянул более 29000 престижных клиентов по всему миру», - сообщает CSIS Security Group A / S. «Мы предполагаем, что эта атака могла затронуть большое количество этих клиентов».