Атаката с рансъмуер Agenda (Qilin) води до кражба на идентификационни данни на Google Chrome
Групата за рансъмуер Agenda (Qilin) въведе тревожна нова тактика: внедряване на персонализиран крадец за събиране на идентификационни данни за акаунт, съхранявани в браузърите Google Chrome. Това развитие, наблюдавано от екипа на Sophos X-Ops по време на скорошни усилия за реагиране при инциденти, бележи значителна ескалация в пейзажа на рансъмуера, което прави тези атаки още по-трудни за защита.
Съдържание
Преглед на атаката: Подробна разбивка
Изследователите на Sophos анализираха атака на Agenda/Qilin, която започна с получаване на достъп на групата до мрежа чрез компрометирани идентификационни данни за VPN портал, който нямаше многофакторно удостоверяване (MFA). Пробивът беше последван от 18-дневен период на неактивност, което предполага, че Qilin може да е закупил достъп до мрежата от брокер за първоначален достъп (IAB). По време на този пасив вероятно нападателите са прекарали време в картографиране на мрежата, идентифициране на критични активи и извършване на разузнаване.
След този период на разузнаване нападателите се преместиха странично към домейн контролер, където модифицираха обекти на групови правила (GPO), за да изпълнят PowerShell скрипт, „IPScanner.ps1“, на всички машини, влезли в домейн мрежата. Този скрипт, изпълняван от партиден файл, „logon.bat“, е специално проектиран да събира идентификационни данни, съхранявани в Google Chrome.
Събиране на идентификационни данни на Chrome: Нов слой на опасност
Пакетният скрипт задейства скрипта на PowerShell всеки път, когато потребител влезе в машината си, а откраднатите идентификационни данни се записват в споделянето на „SYSVOL“ под имената „LD“ или „temp.log“. След това тези файлове бяха изпратени до командния и контролен (C2) сървър на Agenda/Qilin, след което локалните копия и свързаните регистрационни файлове на събития бяха изтрити, за да се покрият следите на нападателите. Впоследствие Agenda (Qilin) разгърна своя полезен софтуер за рансъмуер, като криптира данни в компрометираните машини. Отделен GPO и партиден файл, „run.bat“, бяха използвани за изтегляне и изпълнение на ransomware на всички машини в домейна.
Подходът на Agenda/Qilin за насочване на идентификационните данни на Chrome е особено тревожен, тъй като GPO се прилага към всички машини в домейна. Това означаваше, че всяко устройство, в което потребител е влязъл, е подложено на процеса на събиране на идентификационни данни. Скриптът потенциално е откраднал идентификационни данни от всички машини в компанията, стига те да са били свързани към домейна и да са имали активни потребителски влизания през периода, в който скриптът е бил работещ.
Последици и стратегии за смекчаване
Мащабната кражба на идентификационни данни, улеснена от този метод, може да доведе до последващи атаки, широко разпространени пробиви в множество платформи и услуги и значително да усложни усилията за реагиране. Освен това, той въвежда постоянна заплаха, която може да остане дори след като първоначалният инцидент с ransomware бъде разрешен.
За да намалят този риск, организациите трябва да прилагат строги правила срещу съхраняването на идентификационни данни в уеб браузъри. Прилагането на многофакторно удостоверяване също е от решаващо значение за защитата на акаунти от кражба, дори в случай на компрометиране на идентификационни данни. Освен това, прилагането на принципите на най-малко привилегии и сегментирането на мрежата може значително да попречи на способността на заплахата да се движи странично в рамките на компрометирана среда.
Като се имат предвид връзките на Qilin с групата за социално инженерство Scattered Spider и техните мултиплатформени възможности, тази тактическа промяна представлява значителен риск за организациите. Тъй като групите за рансъмуер като Qilin продължават да се развиват, оставането на бдителност и проактивност при прилагането на стабилни мерки за сигурност е по-важно от всякога.