هجوم الفدية The Agenda (Qilin) يؤدي إلى سرقة بيانات اعتماد Google Chrome

لقد قدمت مجموعة برامج الفدية Agenda (Qilin) تكتيكًا جديدًا مثيرًا للقلق: نشر برنامج سرقة مخصص لحصاد بيانات اعتماد الحساب المخزنة في متصفحات Google Chrome. هذا التطور، الذي لاحظه فريق Sophos X-Ops أثناء جهود الاستجابة للحوادث الأخيرة، يمثل تصعيدًا كبيرًا في مشهد برامج الفدية، مما يجعل الدفاع ضد هذه الهجمات أكثر صعوبة.

نظرة عامة على الهجوم: تفصيل مفصل

قام باحثو Sophos بتحليل هجوم Agenda/Qilin الذي بدأ بحصول المجموعة على حق الوصول إلى شبكة عبر بيانات اعتماد مخترقة لبوابة VPN تفتقر إلى المصادقة متعددة العوامل (MFA). تبع الاختراق فترة من عدم النشاط لمدة 18 يومًا، مما يشير إلى أن Qilin ربما اشترت حق الوصول إلى الشبكة من وسيط وصول أولي (IAB). خلال هذا الخمول، من المحتمل أن المهاجمين أمضوا وقتًا في رسم خريطة للشبكة وتحديد الأصول المهمة وإجراء الاستطلاع.

بعد فترة الاستطلاع هذه، انتقل المهاجمون بشكل جانبي إلى وحدة تحكم المجال، حيث قاموا بتعديل كائنات نهج المجموعة (GPOs) لتنفيذ نص PowerShell، "IPScanner.ps1"، عبر جميع الأجهزة المسجلة في شبكة المجال. تم تصميم هذا النص، الذي يتم تنفيذه بواسطة ملف دفعي، "logon.bat"، خصيصًا لجمع بيانات الاعتماد المخزنة في Google Chrome.

حصاد بيانات اعتماد Chrome: طبقة جديدة من الخطر

وقد قام البرنامج النصي الدفعي بتشغيل البرنامج النصي PowerShell في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى جهازه، وتم حفظ بيانات الاعتماد المسروقة على مشاركة "SYSVOL" تحت الأسماء "LD" أو "temp.log". ثم تم إرسال هذه الملفات إلى خادم الأوامر والتحكم (C2) الخاص بـ Agenda/Qilin، وبعد ذلك تم مسح النسخ المحلية وسجلات الأحداث ذات الصلة لتغطية آثار المهاجمين. بعد ذلك، قامت Agenda (Qilin) بنشر حمولة برامج الفدية الخاصة بها، وتشفير البيانات عبر الأجهزة المخترقة. تم استخدام GPO وملف دفعي منفصلين، "run.bat"، لتنزيل وتنفيذ برامج الفدية عبر جميع الأجهزة في المجال.

إن نهج Agenda/Qilin في استهداف بيانات اعتماد Chrome مثير للقلق بشكل خاص لأن GPO ينطبق على جميع الأجهزة داخل النطاق. وهذا يعني أن كل جهاز يسجل المستخدم الدخول إليه يخضع لعملية جمع بيانات الاعتماد. ومن المحتمل أن يسرق البرنامج النصي بيانات الاعتماد من جميع الأجهزة في جميع أنحاء الشركة، طالما كانت متصلة بالنطاق ولديها عمليات تسجيل دخول نشطة للمستخدم أثناء الفترة التي كان البرنامج النصي يعمل فيها.

التداعيات واستراتيجيات التخفيف

إن سرقة بيانات الاعتماد على نطاق واسع والتي تسهلها هذه الطريقة قد تؤدي إلى هجمات لاحقة، وانتهاكات واسعة النطاق عبر منصات وخدمات متعددة، وتعقّد بشكل كبير جهود الاستجابة. علاوة على ذلك، فإنها تقدم تهديدًا مستمرًا قد يستمر حتى بعد حل حادثة الفدية الأولية.

للتخفيف من هذه المخاطر، ينبغي للمؤسسات فرض سياسات صارمة ضد تخزين بيانات الاعتماد في متصفحات الويب. كما يعد تنفيذ المصادقة متعددة العوامل أمرًا بالغ الأهمية في حماية الحسابات من الاختراق، حتى في حالة تعرض بيانات الاعتماد للخطر. وعلاوة على ذلك، فإن تطبيق مبادئ الحد الأدنى من الامتيازات وتقسيم الشبكة يمكن أن يعيق بشكل كبير قدرة الجهة المهددة على التحرك أفقيًا داخل بيئة معرضة للخطر.

نظرًا لارتباط Qilin بمجموعة الهندسة الاجتماعية Scattered Spider وقدراتها على منصات متعددة، فإن هذا التحول التكتيكي يمثل خطرًا كبيرًا على المنظمات. ومع استمرار تطور مجموعات برامج الفدية مثل Qilin، فإن البقاء يقظًا واستباقيًا في تنفيذ تدابير أمنية قوية أمر بالغ الأهمية أكثر من أي وقت مضى.