Agenda (Qilin) lunavara rünnak viib Google Chrome'i mandaadi varguseni
Agenda (Qilin) lunavararühm on võtnud kasutusele uue murettekitava taktika: kohandatud varastaja juurutamine Google Chrome'i brauseritesse salvestatud konto mandaatide kogumiseks. See areng, mida Sophos X-Opsi meeskond hiljutiste intsidentidele reageerimise käigus täheldas, tähistab lunavaramaastiku olulist eskaleerumist, muutes nende rünnakute eest kaitsmise veelgi keerulisemaks.
Sisukord
Rünnaku ülevaade: üksikasjalik jaotus
Sophose teadlased analüüsisid Agenda/Qilini rünnakut, mis sai alguse sellest, et rühm sai juurdepääsu võrgule VPN-portaali rikutud mandaatide kaudu, millel puudus mitmefaktoriline autentimine (MFA). Rikkumisele järgnes 18-päevane tegevusetusperiood, mis viitab sellele, et Qilin võis ostnud juurdepääsu võrgule esialgselt juurdepääsuvahendajalt (IAB). Selle puhkeoleku ajal kulutasid ründajad tõenäoliselt aega võrgu kaardistamisele, kriitiliste varade tuvastamisele ja luurele.
Pärast seda tutvumisperioodi liikusid ründajad külgsuunas domeenikontrolleri juurde, kus nad muutsid rühmapoliitika objekte (GPO-sid), et käivitada PowerShelli skript "IPScanner.ps1" kõigis domeenivõrku sisse logitud masinates. See pakkfaili „logon.bat” käivitatav skript oli spetsiaalselt loodud Google Chrome'i salvestatud mandaatide kogumiseks.
Chrome'i mandaatide kogumine: uus ohukiht
Pakettskript käivitas PowerShelli skripti iga kord, kui kasutaja oma masinasse sisse logis, ja varastatud mandaadid salvestati SYSVOL-i jagamisele nimede „LD” või „temp.log” all. Need failid saadeti seejärel Agenda/Qilini käsu- ja juhtimisserverisse (C2), misjärel kohalikud koopiad ja seotud sündmuste logid pühiti ründajate jälgede katmiseks. Seejärel võttis Agenda (Qilin) kasutusele oma lunavara kasuliku koormuse, krüpteerides andmed ohustatud masinates. Lunavara allalaadimiseks ja käivitamiseks kõigis domeeni masinates kasutati eraldi GPO- ja partiifaili „run.bat”.
Agenda/Qilini lähenemine Chrome'i mandaatide sihtimisele on eriti murettekitav, kuna GPO rakendub kõigile domeenis olevatele masinatele. See tähendas, et iga seade, kuhu kasutaja sisse logis, allus mandaadi kogumise protsessile. Skript varastas potentsiaalselt kõigi ettevõtte masinate mandaadid, kui need olid domeeniga ühendatud ja neil oli skripti töötamise ajal aktiivsed sisselogimised.
Mõjud ja leevendusstrateegiad
Selle meetodi abil hõlbustatud ulatuslik mandaadivargus võib põhjustada järelrünnakuid, laialdasi rikkumisi mitme platvormi ja teenuse vahel ning raskendada märkimisväärselt reageerimispüüdlusi. Lisaks toob see kaasa püsiva ohu, mis võib püsida ka pärast esialgse lunavaraintsidendi lahendamist.
Selle riski maandamiseks peaksid organisatsioonid kehtestama ranged eeskirjad mandaatide veebibrauseritesse salvestamise vastu. Mitmefaktorilise autentimise rakendamine on oluline ka kontode kaitsmisel kaaperdamise eest isegi mandaadiga seotud ohtude korral. Lisaks võib vähimate privileegide põhimõtete rakendamine ja võrgu segmenteerimine oluliselt takistada ohus osaleja võimet liikuda ohustatud keskkonnas külgsuunas.
Arvestades Qilini sidemeid sotsiaalse inseneride grupiga Scattered Spider ja nende mitmeplatvormilisi võimalusi, kujutab see taktikaline nihe organisatsioonidele olulist ohtu. Kuna lunavararühmad nagu Qilin arenevad edasi, on valvsus ja proaktiivne tegutsemine tugevate turvameetmete rakendamisel kriitilisem kui kunagi varem.