The Record 報(bào)道稱(chēng)，某神秘黑客攻破了企業(yè)密碼管理器應(yīng)用程序的更新機(jī)制，并在其用戶(hù)設(shè)備（大多數(shù)為企業(yè)客戶(hù)）上部署了惡意軟件。今天早些時(shí)候，澳大利亞軟件公司 Click Studios 已經(jīng)向 2.9 萬(wàn)名客戶(hù)發(fā)去了電子郵件通知。由波蘭科技新聞網(wǎng)站 Niebezpiecznik 獲得的通告副本可知，帶有惡意軟件的更新包，在 4 月 20 ~ 22 日期間持續(xù)傳播了 28 個(gè)小時(shí)。

官網(wǎng)介紹（來(lái)自：Click Studios）

丹麥安全公司 CSIS 今日發(fā)布了針對(duì)該供應(yīng)鏈惡意軟件攻擊的分析，指出攻擊者迫使 Passwordstate 應(yīng)用程序下載了另一個(gè)名為“Passwordstate_update.zip”的壓縮包，其中包含了一個(gè)“moserware.secretsplitter.dll”動(dòng)態(tài)鏈接庫(kù)文件。

在受害者機(jī)器上安裝后，該 DLL 文件將會(huì)嘗試 ping 通遠(yuǎn)程的命令與控制服務(wù)器，而后服務(wù)器端會(huì)給出特定的響應(yīng)，比如檢索其它有效負(fù)載。

從 UTC 時(shí)間 4 月 20 日 20:33、到 4 月 22 日 00:30，惡意軟件一共持續(xù)了 28 個(gè)小時(shí)。然而攻擊者的嗅覺(jué)也相當(dāng)靈敏，在發(fā)現(xiàn)露餡時(shí)就立即關(guān)閉了命令與控制服務(wù)器。

調(diào)查受阻的安全人員，暫時(shí)只發(fā)現(xiàn) Windows 版本的 Passwordstate 惡意軟件。至于攻擊者還執(zhí)行了哪些額外的騷操作，目前還無(wú)法斷定。

郵件截圖

從攻擊者破壞的軟件性質(zhì)來(lái)判斷，黑客顯然希望從受感染的系統(tǒng)中撈取機(jī)密信息，甚至可能已經(jīng)獲得了對(duì)客戶(hù)密碼存儲(chǔ)的完全訪問(wèn)權(quán)限。

正如 SentinelOne 首席威脅研究員 Juan Andres Guerrero-Saade 今日在 Twitter 上指出的那樣，當(dāng)前已有某些工具能夠破解 Passwordstate 加密庫(kù)并恢復(fù)明文密碼。

一旦泄露相關(guān)密碼，許多企業(yè)客戶(hù)的內(nèi)網(wǎng)郵件、賬號(hào)、防火墻、虛擬專(zhuān)用網(wǎng)、交換機(jī)、路由器、網(wǎng)絡(luò)網(wǎng)關(guān)、以及本地存儲(chǔ)系統(tǒng)，都將面臨相當(dāng)嚴(yán)重的威脅。

作為應(yīng)對(duì)，Click Studios 已經(jīng)發(fā)布了一個(gè)名叫 Moserware.zip 的修復(fù)程序包（傳送門(mén)），并建議 29000 家企業(yè)立即更換所有密碼。