Η Επίθεση Ransomware της Ατζέντας (Qilin) οδηγεί σε κλοπή διαπιστευτηρίων του Google Chrome
Η ομάδα ransomware Agenda (Qilin) εισήγαγε μια ανησυχητική νέα τακτική: την ανάπτυξη ενός προσαρμοσμένου stealer για τη συλλογή διαπιστευτηρίων λογαριασμού που είναι αποθηκευμένα στα προγράμματα περιήγησης Google Chrome. Αυτή η εξέλιξη, που παρατηρήθηκε από την ομάδα του Sophos X-Ops κατά τη διάρκεια πρόσφατων προσπαθειών αντιμετώπισης περιστατικών, σηματοδοτεί μια σημαντική κλιμάκωση στο τοπίο του ransomware, καθιστώντας αυτές τις επιθέσεις ακόμη πιο δύσκολη για την άμυνα.
Πίνακας περιεχομένων
Επισκόπηση επίθεσης: Μια λεπτομερής ανάλυση
Οι ερευνητές του Sophos ανέλυσαν μια επίθεση Agenda/Qilin που ξεκίνησε με την ομάδα να αποκτά πρόσβαση σε ένα δίκτυο μέσω παραβιασμένων διαπιστευτηρίων για μια πύλη VPN που δεν διέθετε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Μετά την παραβίαση ακολούθησε μια περίοδος αδράνειας 18 ημερών, η οποία υποδηλώνει ότι η Qilin μπορεί να αγόρασε πρόσβαση στο δίκτυο από έναν μεσίτη αρχικής πρόσβασης (IAB). Κατά τη διάρκεια αυτής της αδράνειας, είναι πιθανό οι εισβολείς να ξόδεψαν χρόνο χαρτογραφώντας το δίκτυο, εντοπίζοντας κρίσιμα στοιχεία και πραγματοποιώντας αναγνώριση.
Μετά από αυτήν την περίοδο αναγνώρισης, οι εισβολείς μετακινήθηκαν πλευρικά σε έναν ελεγκτή τομέα, όπου τροποποίησαν τα αντικείμενα πολιτικής ομάδας (GPO) για να εκτελέσουν ένα σενάριο PowerShell, «IPScanner.ps1», σε όλα τα μηχανήματα που είναι συνδεδεμένα στο δίκτυο τομέα. Αυτό το σενάριο, που εκτελέστηκε από ένα αρχείο δέσμης, το 'logon.bat', σχεδιάστηκε ειδικά για τη συλλογή διαπιστευτηρίων που είναι αποθηκευμένα στο Google Chrome.
Συγκομιδή διαπιστευτηρίων Chrome: Ένα νέο επίπεδο κινδύνου
Το σενάριο δέσμης ενεργοποίησε το σενάριο PowerShell κάθε φορά που ένας χρήστης συνδεόταν στον υπολογιστή του και τα κλεμμένα διαπιστευτήρια αποθηκεύονταν στο κοινόχρηστο στοιχείο "SYSVOL" με τα ονόματα "LD" ή "temp.log". Στη συνέχεια, αυτά τα αρχεία στάλθηκαν στον διακομιστή εντολών και ελέγχου (C2) του Agenda/Qilin, μετά τον οποίο τα τοπικά αντίγραφα και τα σχετικά αρχεία καταγραφής συμβάντων σκουπίστηκαν για να καλύψουν τα ίχνη των εισβολέων. Στη συνέχεια, η Agenda (Qilin) ανέπτυξε το ωφέλιμο φορτίο ransomware, κρυπτογραφώντας δεδομένα σε όλα τα παραβιασμένα μηχανήματα. Ένα ξεχωριστό GPO και ένα αρχείο δέσμης, «run.bat», χρησιμοποιήθηκαν για τη λήψη και την εκτέλεση του ransomware σε όλα τα μηχανήματα στον τομέα.
Η προσέγγιση του Agenda/Qilin για τη στόχευση των διαπιστευτηρίων του Chrome είναι ιδιαίτερα ανησυχητική επειδή το GPO ισχύει για όλα τα μηχανήματα εντός του τομέα. Αυτό σήμαινε ότι κάθε συσκευή στην οποία συνδέθηκε ένας χρήστης υπόκειται στη διαδικασία συλλογής διαπιστευτηρίων. Το σενάριο δυνητικά έκλεψε διαπιστευτήρια από όλα τα μηχανήματα σε όλη την εταιρεία, εφόσον ήταν συνδεδεμένα με τον τομέα και είχαν ενεργές συνδέσεις χρηστών κατά την περίοδο λειτουργίας του σεναρίου.
Επιπτώσεις και Στρατηγικές Μετριασμού
Η εκτεταμένη κλοπή διαπιστευτηρίων που διευκολύνεται από αυτή τη μέθοδο θα μπορούσε να οδηγήσει σε επιθέσεις παρακολούθησης, εκτεταμένες παραβιάσεις σε πολλαπλές πλατφόρμες και υπηρεσίες και να περιπλέξει σημαντικά τις προσπάθειες απόκρισης. Επιπλέον, εισάγει μια επίμονη απειλή που μπορεί να παραμείνει ακόμη και μετά την επίλυση του αρχικού περιστατικού ransomware.
Για να μετριάσουν αυτόν τον κίνδυνο, οι οργανισμοί θα πρέπει να εφαρμόζουν αυστηρές πολιτικές κατά της αποθήκευσης διαπιστευτηρίων σε προγράμματα περιήγησης ιστού. Η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων είναι επίσης ζωτικής σημασίας για την προστασία των λογαριασμών από πειρατεία, ακόμη και σε περίπτωση παραβίασης διαπιστευτηρίων. Επιπλέον, η εφαρμογή των αρχών των ελάχιστων προνομίων και η τμηματοποίηση του δικτύου μπορεί να εμποδίσει σημαντικά την ικανότητα ενός παράγοντα απειλής να κινείται πλευρικά μέσα σε ένα παραβιασμένο περιβάλλον.
Δεδομένων των δεσμών του Qilin με την ομάδα κοινωνικής μηχανικής Scattered Spider και των δυνατοτήτων τους σε πολλές πλατφόρμες, αυτή η τακτική αλλαγή αντιπροσωπεύει σημαντικό κίνδυνο για τους οργανισμούς. Καθώς οι ομάδες ransomware όπως το Qilin συνεχίζουν να εξελίσσονται, η παραμονή σε επαγρύπνηση και προληπτική δράση στην εφαρμογή ισχυρών μέτρων ασφαλείας είναι πιο κρίσιμη από ποτέ.