Agenda (Qilin) Ransomware-angrebet fører til Google Chrome-legitimationstyveri
Agenda (Qilin) ransomware- gruppen har introduceret en bekymrende ny taktik: at implementere en brugerdefineret stjæler til at høste kontolegitimationsoplysninger gemt i Google Chrome-browsere. Denne udvikling, observeret af Sophos X-Ops-teamet under de seneste hændelsers indsats, markerer en betydelig eskalering i ransomware-landskabet, hvilket gør disse angreb endnu mere udfordrende at forsvare sig imod.
Indholdsfortegnelse
Angrebsoversigt: En detaljeret opdeling
Sophos-forskere analyserede et Agenda/Qilin-angreb, der begyndte med, at gruppen fik adgang til et netværk via kompromitterede legitimationsoplysninger til en VPN-portal, der manglede multi-factor authentication (MFA). Bruddet blev efterfulgt af en 18-dages periode med inaktivitet, hvilket tyder på, at Qilin muligvis har købt adgang til netværket fra en initial access broker (IAB). Under denne dvale har angriberne sandsynligvis brugt tid på at kortlægge netværket, identificere kritiske aktiver og foretage rekognoscering.
Efter denne rekognosceringsperiode flyttede angriberne sideværts til en domænecontroller, hvor de modificerede gruppepolitikobjekter (GPO'er) til at udføre et PowerShell-script, 'IPScanner.ps1', på tværs af alle maskiner, der var logget ind på domænetværket. Dette script, udført af en batch-fil, 'logon.bat', er specielt designet til at indsamle legitimationsoplysninger, der er gemt i Google Chrome.
Chrome Credential Harvesting: A New Layer of Danger
Batch-scriptet udløste PowerShell-scriptet, hver gang en bruger loggede på deres maskine, og de stjålne legitimationsoplysninger blev gemt på 'SYSVOL'-delingen under navnene 'LD' eller 'temp.log'. Disse filer blev derefter sendt til Agenda/Qilins kommando og kontrol (C2) server, hvorefter lokale kopier og relaterede hændelseslogfiler blev slettet for at dække angribernes spor. Efterfølgende implementerede Agenda (Qilin) deres ransomware-nyttelast og krypterede data på tværs af de kompromitterede maskiner. En separat GPO og batchfil, 'run.bat', blev brugt til at downloade og udføre ransomwaren på tværs af alle maskiner i domænet.
Agenda/Qilins tilgang til at målrette Chrome-legitimationsoplysninger er særligt alarmerende, fordi GPO'en gjaldt for alle maskiner inden for domænet. Dette betød, at hver enhed, som en bruger loggede på, var genstand for legitimationsindsamlingsprocessen. Scriptet stjal potentielt legitimationsoplysninger fra alle maskiner på tværs af virksomheden, så længe de var forbundet til domænet og havde aktive brugerlogins i den periode, hvor scriptet var i drift.
Implikationer og afhjælpningsstrategier
Det omfattende legitimationstyveri lettet af denne metode kan føre til opfølgende angreb, udbredte brud på tværs af flere platforme og tjenester og betydeligt komplicere reaktionsindsatsen. Desuden introducerer det en vedvarende trussel, der kan blive hængende, selv efter den første ransomware-hændelse er løst.
For at mindske denne risiko bør organisationer håndhæve strenge politikker mod lagring af legitimationsoplysninger i webbrowsere. Implementering af multi-faktor autentificering er også afgørende for at beskytte konti mod kapring, selv i tilfælde af kompromittering af legitimationsoplysninger. Ydermere kan anvendelse af principperne om mindste privilegium og segmentering af netværket betydeligt hindre en trusselaktørs evne til at bevæge sig sideværts inden for et kompromitteret miljø.
I betragtning af Qilins links til Scattered Spider social engineering-gruppen og deres multi-platform-kapacitet, repræsenterer dette taktiske skift en væsentlig risiko for organisationer. Efterhånden som ransomware-grupper som Qilin fortsætter med at udvikle sig, er det mere vigtigt end nogensinde at forblive på vagt og proaktiv med at implementere robuste sikkerhedsforanstaltninger.