Ransomwarový útok Agenda (Qilin) vede ke krádeži pověření Google Chrome
Skupina ransomwaru Agenda (Qilin) zavedla znepokojivou novou taktiku: nasazení vlastního zloděje pro získávání přihlašovacích údajů k účtu uložených v prohlížečích Google Chrome. Tento vývoj, pozorovaný týmem Sophos X-Ops během nedávných snah o reakci na incidenty, znamená významnou eskalaci v oblasti ransomwaru, díky čemuž je obrana proti těmto útokům ještě náročnější.
Obsah
Přehled útoku: Podrobný rozpis
Výzkumníci společnosti Sophos analyzovali útok Agenda/Qilin, který začal tím, že skupina získala přístup k síti prostřednictvím kompromitovaných přihlašovacích údajů pro portál VPN, který postrádal vícefaktorové ověřování (MFA). Po porušení následovalo 18denní období nečinnosti, což naznačuje, že Qilin si možná zakoupil přístup k síti od zprostředkovatele počátečního přístupu (IAB). Během této nečinnosti útočníci pravděpodobně strávili čas mapováním sítě, identifikací kritických aktiv a prováděním průzkumu.
Po tomto období průzkumu se útočníci laterálně přesunuli na řadič domény, kde upravili objekty zásad skupiny (GPO) tak, aby spouštěly skript PowerShellu „IPScanner.ps1“ na všech počítačích přihlášených do doménové sítě. Tento skript spouštěný dávkovým souborem „logon.bat“ byl speciálně navržen ke shromažďování přihlašovacích údajů uložených v prohlížeči Google Chrome.
Chrome Credential Harvesting: Nová vrstva nebezpečí
Dávkový skript spustil skript PowerShell pokaždé, když se uživatel přihlásil do svého počítače, a ukradené přihlašovací údaje byly uloženy do sdílené složky 'SYSVOL' pod názvy 'LD' nebo 'temp.log.' Tyto soubory byly poté odeslány na server pro velení a řízení (C2) Agenda/Qilin, načež byly místní kopie a související protokoly událostí vymazány, aby zakryly stopy útočníků. Následně Agenda (Qilin) nasadila svůj ransomware a šifrovala data na napadených počítačích. Ke stažení a spuštění ransomwaru na všech počítačích v doméně byl použit samostatný GPO a dávkový soubor „run.bat“.
Přístup Agenda/Qilin k cílení na přihlašovací údaje Chrome je obzvláště alarmující, protože GPO se vztahoval na všechny počítače v doméně. To znamenalo, že každé zařízení, ke kterému se uživatel přihlásil, podléhalo procesu získávání pověření. Skript potenciálně ukradl přihlašovací údaje ze všech počítačů ve společnosti, pokud byly připojeny k doméně a měly aktivní přihlášení uživatelů během období, kdy byl skript funkční.
Důsledky a strategie zmírňování
Rozsáhlá krádež přihlašovacích údajů usnadněná touto metodou by mohla vést k následným útokům, rozsáhlým narušením napříč různými platformami a službami a výrazně zkomplikovat úsilí o reakci. Navíc představuje trvalou hrozbu, která může přetrvávat i po vyřešení počátečního incidentu s ransomwarem.
Aby se toto riziko zmírnilo, měly by organizace prosazovat přísné zásady proti ukládání přihlašovacích údajů ve webových prohlížečích. Implementace vícefaktorové autentizace je také zásadní pro ochranu účtů před únosem, a to i v případě kompromitace pověření. Kromě toho může aplikace principů nejmenšího privilegia a segmentace sítě významně bránit schopnosti aktéra hrozby pohybovat se laterálně v kompromitovaném prostředí.
Vzhledem k propojení Qilin se skupinou sociálního inženýrství Scattered Spider a jejich multiplatformním schopnostem představuje tento taktický posun pro organizace značné riziko. Vzhledem k tomu, že se skupiny ransomwaru, jako je Qilin, stále vyvíjejí, zůstat ostražitý a proaktivní při zavádění robustních bezpečnostních opatření je důležitější než kdy jindy.