এজেন্ডা (কিলিন) র্যানসমওয়্যার আক্রমণ গুগল ক্রোম শংসাপত্র চুরির দিকে নিয়ে যায়
এজেন্ডা (কিলিন) র্যানসমওয়্যার গ্রুপ একটি নতুন কৌশল চালু করেছে: গুগল ক্রোম ব্রাউজারে সঞ্চিত অ্যাকাউন্টের শংসাপত্র সংগ্রহ করতে একটি কাস্টম চুরিকারীকে মোতায়েন করা। সাম্প্রতিক ঘটনার প্রতিক্রিয়া প্রয়াসের সময় সোফোস এক্স-অপস টিমের দ্বারা পর্যবেক্ষণ করা এই উন্নয়নটি র্যানসমওয়্যার ল্যান্ডস্কেপের একটি উল্লেখযোগ্য বৃদ্ধিকে চিহ্নিত করে, যা এই আক্রমণগুলিকে প্রতিরোধ করা আরও চ্যালেঞ্জিং করে তোলে।
সুচিপত্র
আক্রমণ ওভারভিউ: একটি বিস্তারিত ব্রেকডাউন
সোফোস গবেষকরা একটি এজেন্ডা/কিলিন আক্রমণ বিশ্লেষণ করেছেন যেটি একটি ভিপিএন পোর্টালের জন্য আপোষকৃত শংসাপত্রের মাধ্যমে একটি নেটওয়ার্কে অ্যাক্সেস পাওয়ার সাথে শুরু হয়েছিল যাতে মাল্টি-ফ্যাক্টর প্রমাণীকরণ (MFA) নেই। লঙ্ঘনটি 18-দিনের নিষ্ক্রিয়তার দ্বারা অনুসরণ করা হয়েছিল, যা প্রস্তাব করে যে কিলিন একটি প্রাথমিক অ্যাক্সেস ব্রোকার (IAB) থেকে নেটওয়ার্কে অ্যাক্সেস কিনেছিলেন। এই সুপ্ততার সময়, সম্ভবত আক্রমণকারীরা নেটওয়ার্কের ম্যাপিং, গুরুত্বপূর্ণ সম্পদ সনাক্ত করতে এবং পুনঃসূচনা পরিচালনা করতে সময় ব্যয় করেছে।
এই পুনরুদ্ধারের সময়কালের পরে, আক্রমণকারীরা একটি ডোমেন কন্ট্রোলারের কাছে চলে যায়, যেখানে তারা ডোমেন নেটওয়ার্কে লগ ইন করা সমস্ত মেশিন জুড়ে একটি PowerShell স্ক্রিপ্ট, 'IPScanner.ps1' চালানোর জন্য গ্রুপ পলিসি অবজেক্ট (GPOs) পরিবর্তন করে। এই স্ক্রিপ্ট, একটি ব্যাচ ফাইল, 'logon.bat,' দ্বারা কার্যকর করা হয়েছে বিশেষভাবে Google Chrome-এ সঞ্চিত শংসাপত্র সংগ্রহ করার জন্য ডিজাইন করা হয়েছে৷
ক্রোম শংসাপত্র সংগ্রহ: বিপদের একটি নতুন স্তর
ব্যাচ স্ক্রিপ্টটি পাওয়ারশেল স্ক্রিপ্টটি ট্রিগার করে যখন একজন ব্যবহারকারী তাদের মেশিনে লগ ইন করে, এবং চুরি হওয়া শংসাপত্রগুলি 'LD' বা 'temp.log' নামে 'SYSVOL' শেয়ারে সংরক্ষণ করা হয়। এই ফাইলগুলি তখন Agenda/Qilin এর কমান্ড এবং কন্ট্রোল (C2) সার্ভারে পাঠানো হয়েছিল, তারপরে আক্রমণকারীদের ট্র্যাকগুলি কভার করার জন্য স্থানীয় কপি এবং সম্পর্কিত ইভেন্ট লগগুলি মুছে ফেলা হয়েছিল। পরবর্তীকালে, এজেন্ডা (কিলিন) তাদের র্যানসমওয়্যার পেলোড স্থাপন করে, আপস করা মেশিন জুড়ে ডেটা এনক্রিপ্ট করে। একটি পৃথক GPO এবং ব্যাচ ফাইল, 'run.bat,' ডোমেনের সমস্ত মেশিনে র্যানসমওয়্যার ডাউনলোড এবং কার্যকর করতে ব্যবহৃত হয়েছিল।
ক্রোম শংসাপত্রগুলিকে লক্ষ্য করার জন্য এজেন্ডা/কিলিনের পদ্ধতি বিশেষভাবে উদ্বেগজনক কারণ GPO ডোমেনের মধ্যে সমস্ত মেশিনে প্রয়োগ করা হয়েছে৷ এর মানে হল যে ব্যবহারকারী লগ ইন করা প্রতিটি ডিভাইস শংসাপত্র সংগ্রহ প্রক্রিয়ার সাপেক্ষে। স্ক্রিপ্টটি সম্ভাব্যভাবে কোম্পানির সমস্ত মেশিন থেকে শংসাপত্র চুরি করেছে, যতক্ষণ না তারা ডোমেনের সাথে সংযুক্ত ছিল এবং স্ক্রিপ্টটি চালু হওয়ার সময়কালে সক্রিয় ব্যবহারকারী লগইন ছিল।
প্রভাব এবং প্রশমন কৌশল
এই পদ্ধতির দ্বারা সহজলভ্য ব্যাপক শংসাপত্র চুরি ফলো-আপ আক্রমণ, একাধিক প্ল্যাটফর্ম এবং পরিষেবা জুড়ে ব্যাপক লঙ্ঘন এবং প্রতিক্রিয়া প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তুলতে পারে। অধিকন্তু, এটি একটি ক্রমাগত হুমকির পরিচয় দেয় যা প্রাথমিক র্যানসমওয়্যার ঘটনার সমাধান হওয়ার পরেও দীর্ঘস্থায়ী হতে পারে।
এই ঝুঁকি কমানোর জন্য, সংস্থাগুলিকে ওয়েব ব্রাউজারে শংসাপত্র সংরক্ষণের বিরুদ্ধে কঠোর নীতি প্রয়োগ করা উচিত। মাল্টি-ফ্যাক্টর প্রমাণীকরণ বাস্তবায়ন করা অ্যাকাউন্টগুলিকে হাইজ্যাকিং থেকে রক্ষা করার জন্যও গুরুত্বপূর্ণ, এমনকি শংসাপত্রের আপস হওয়ার ক্ষেত্রেও। তদ্ব্যতীত, ন্যূনতম সুবিধার নীতিগুলি প্রয়োগ করা এবং নেটওয়ার্ককে বিভক্ত করা একটি আপোষহীন পরিবেশের মধ্যে পার্শ্ববর্তীভাবে চলাফেরা করার জন্য হুমকি অভিনেতার ক্ষমতাকে উল্লেখযোগ্যভাবে বাধা দিতে পারে।
স্ক্যাটারড স্পাইডার সোশ্যাল ইঞ্জিনিয়ারিং গ্রুপের সাথে কিলিনের লিঙ্ক এবং তাদের মাল্টি-প্ল্যাটফর্ম ক্ষমতার প্রেক্ষিতে, এই কৌশলগত পরিবর্তন সংস্থাগুলির জন্য যথেষ্ট ঝুঁকির প্রতিনিধিত্ব করে। যেহেতু কিলিনের মতো র্যানসমওয়্যার গোষ্ঠীগুলি ক্রমাগত বিকশিত হচ্ছে, দৃঢ় নিরাপত্তা ব্যবস্থা বাস্তবায়নে সতর্ক থাকা এবং সক্রিয় থাকা আগের চেয়ে আরও গুরুত্বপূর্ণ।