[[443206]]

在調(diào)查某公司最近發(fā)生的內(nèi)部數(shù)據(jù)泄露事件時，AhnLab ASEC分析小組確認(rèn)用于訪問公司網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)賬戶是從某位在家工作的員工的電腦上泄露的。發(fā)生損失的公司為在家工作的員工提供虛擬專用網(wǎng)絡(luò)服務(wù)，讓他們訪問公司的內(nèi)部網(wǎng)絡(luò)，員工用提供的筆記本電腦或他們的 PC 通過虛擬專用網(wǎng)絡(luò)連接到公司內(nèi)部網(wǎng)絡(luò)。

目標(biāo)員工利用網(wǎng)絡(luò)瀏覽器提供的密碼管理功能，在網(wǎng)絡(luò)瀏覽器上保存并使用虛擬專用網(wǎng)絡(luò)網(wǎng)站的賬號和密碼。在這樣做的時候，個人電腦被感染了針對賬戶憑證的惡意軟件，泄露了各個網(wǎng)站的賬戶和密碼，其中也包括公司的虛擬專用網(wǎng)絡(luò)賬戶。三個月后，被泄露的虛擬專用網(wǎng)絡(luò)賬戶被用來入侵該公司的內(nèi)部網(wǎng)絡(luò)。

為了方便用戶，網(wǎng)絡(luò)瀏覽器會儲存用戶訪問網(wǎng)站時輸入的賬戶和密碼，并提供再次訪問時自動輸入的功能。在基于 Chromium 的網(wǎng)絡(luò)瀏覽器(Edge、Chrome)上，密碼管理功能是默認(rèn)啟用的。登錄時輸入的信息會通過密碼管理功能保存到登錄數(shù)據(jù)文件中。

網(wǎng)絡(luò)瀏覽器文件路徑：

• ChromeC:\Users\
• EdgeC:\Users\
• OperaC:\Users\
• WhaleC:\Users\

登錄數(shù)據(jù)是一個SQLite數(shù)據(jù)庫文件，賬戶和密碼信息被保存在logins表中。除了賬戶和密碼之外，保存的時間、登錄網(wǎng)站的URL以及訪問次數(shù)也被保存在logins表中。如果用戶拒絕保存某個網(wǎng)站的賬號和密碼信息，為了記住這一點，blacklisted_by_user 字段將被設(shè)置為1，用戶名_value和密碼_value字段將沒有賬號和密碼，只有 origin_url 信息被保存到 logins 表中。

發(fā)現(xiàn)目標(biāo)員工的電腦是全家人在家里使用的，沒有得到安全管理。它很早以前就已經(jīng)感染了各種惡意軟件，雖然安裝了另一家公司的反惡意軟件程序，但它未能正確檢測和修復(fù)。

在被感染的惡意軟件中，有一個叫 Redline Stealer 的惡意軟件。Redline Stealer 是一種收集保存在網(wǎng)絡(luò)瀏覽器中的賬戶憑證的信息竊取者，它于 2020 年 3 月首次出現(xiàn)在俄羅斯暗網(wǎng)上。一個名為 REDGlade 的用戶上傳了一個宣傳帖子，解釋了 Redline Stealer 包含的各種功能，并以 150-200 美元的價格出售該黑客工具。

由于 Redline Stealer 在暗網(wǎng)上被不加區(qū)分地賣給了不特定的人，因此很難將惡意軟件的開發(fā)者與攻擊者直接聯(lián)系起來。除了惡意軟件，使用Redline Stealer 泄露的憑證也在暗網(wǎng)中被出售。

在這個案例中，Redline Stealer 被偽裝成 Soundshifter 的破解程序在網(wǎng)上傳播，Soundshifter 是 Waves 公司的一個音調(diào)轉(zhuǎn)換程序。用戶輸入帶有破解、免費等字樣的軟件名稱來搜索文件，下載并運(yùn)行下載的文件，從而導(dǎo)致了惡意文件的感染。