今年2月，欧洲一家IT服务提供商在遭遇勒索软件攻击后致电求助，促使WithSecure的研究人员发现了一起被安全专家称为“教科书式身份攻击”的事件。

　　攻击者通过Bing搜索引擎投放广告，引导受害者访问一个伪装成开源密码管理器KeePass官方网站的恶意下载页面。在攻击者的等待下，受害者误以为该网站是真实可信的，并下载了伪装成KeePass的恶意软件。

　　一旦受害者安装了这个伪造的密码管理器，恶意程序便会下载并部署Cobalt Strike工具用于命令与控制（C2），并将已有的KeePass密码数据库以明文形式导出。攻击者由此获得了受害者的网络、VPN以及云服务的访问权限。

　　攻击者随后利用与以往Black Basta勒索软件事件中相同的数字水印标记，执行了勒索软件载荷，加密了VMware ESXi的数据存储，进而“一击瘫痪”多个虚拟机。

　　Sectigo高级研究员Jason Soroko指出：“这次入侵是一个典型的身份攻击案例。攻击者将一个本应被信任的密码保险箱变成了凭证收集工具，窃取了域管理员密码、vSphere根密钥以及代表企业数字身份的服务账户密钥。这些被盗的身份信息绕过了边界防护，破坏了Veeam备份系统，使勒索软件得以在虚拟化平台层面成功部署。”

　　Black Duck的高级安全工程师Boris Cipot补充称，此事件揭示了一个多方面的网络安全问题：涉及开源软件的使用与开发，也反映出用户容易被虚假广告所误导，同时也展示了网络犯罪分子可通过这两者获取巨大破坏能力。

　　Cipot指出：“攻击者专注于VMware ESXi服务器，并在其上部署了勒索软件。一旦他们通过KeePass获取了存储的密码，便可轻松入侵运行在这些ESXi服务器上的主机，发起一次高效且大范围的攻击，而无需逐个攻击虚拟机。”

　　本次事件的最大教训是：**绝不能盲目信任广告。**Cipot还强调，即便是对公众开放的开源软件（OSS），也不能轻易认为它是安全的。

　　“确保软件来源可信、未被篡改是至关重要的——必须清楚它来自哪里，并确认其合法性后，才能将其用于开发或安装到计算机上，”Cipot表示。

　　Apono的联合创始人兼CEO Rom Carmel则指出，这起事件强有力地说明了身份滥用，而非单纯的恶意软件，是现代勒索软件攻击的核心。他说，这次攻击以身份和凭证泄露为核心：通过木马化KeePass，攻击者获取了大量存储的凭证，包括管理员账户、服务账户和API密钥，使其可以横向移动、提升权限。

　　Carmel表示：“这些凭证往往缺乏多因素认证（MFA）或适当的访问控制，使得攻击者能够访问并加密诸如ESXi服务器等关键基础设施。这起安全事件凸显出，未被管理的凭证以及权限过度的身份（无论是人类还是非人类）是现代勒索软件攻击的首要目标与关键推动力。”