حمله باج افزار Agenda (Qilin) منجر به سرقت اعتبارنامه گوگل کروم می شود

گروه باج افزار Agenda (Qilin) تاکتیک جدید نگران کننده ای را معرفی کرده است: استقرار یک دزد سفارشی برای جمع آوری اعتبار حساب های ذخیره شده در مرورگرهای Google Chrome. این پیشرفت که توسط تیم Sophos X-Ops در طی تلاش‌های اخیر واکنش به حادثه مشاهده شد، تشدید قابل توجهی را در چشم‌انداز باج‌افزار نشان می‌دهد و دفاع در برابر این حملات را چالش‌برانگیزتر می‌کند.

بررسی اجمالی حمله: یک تفکیک تفصیلی

محققان Sophos یک حمله Agenda/Qilin را تجزیه و تحلیل کردند که با دستیابی گروه به یک شبکه از طریق اعتبارنامه های در معرض خطر برای یک پورتال VPN که فاقد احراز هویت چند عاملی (MFA) بود، شروع شد. این نقض با یک دوره 18 روزه عدم فعالیت دنبال شد، که نشان می دهد Qilin ممکن است دسترسی به شبکه را از یک واسطه دسترسی اولیه (IAB) خریداری کرده باشد. در طول این خواب، احتمالا مهاجمان زمانی را صرف نقشه‌برداری شبکه، شناسایی دارایی‌های حیاتی و انجام شناسایی کرده‌اند.

پس از این دوره شناسایی، مهاجمان به صورت جانبی به یک کنترل کننده دامنه منتقل شدند، جایی که آنها اشیاء خط مشی گروه (GPO) را تغییر دادند تا یک اسکریپت PowerShell، 'IPScanner.ps1' را در تمام ماشین های وارد شده به شبکه دامنه اجرا کنند. این اسکریپت که توسط یک فایل دسته‌ای، 'logon.bat' اجرا شده است، به‌طور خاص برای جمع‌آوری اعتبارنامه‌های ذخیره شده در Google Chrome طراحی شده است.

جمع آوری اعتبار کروم: لایه جدیدی از خطر

اسکریپت دسته‌ای اسکریپت PowerShell را هر بار که کاربر وارد دستگاه خود می‌شد فعال می‌کرد و اعتبارنامه‌های سرقت شده در اشتراک «SYSVOL» با نام‌های «LD» یا «temp.log» ذخیره می‌شد. این فایل‌ها سپس به سرور دستور و کنترل Agenda/Qilin (C2) فرستاده شدند و پس از آن کپی‌های محلی و گزارش‌های رویداد مرتبط پاک شدند تا مسیرهای مهاجمان را پوشش دهند. متعاقبا، Agenda (Qilin) بار باج افزار خود را مستقر کرد و داده ها را در سراسر ماشین های در معرض خطر رمزگذاری کرد. یک GPO و یک فایل دسته‌ای جداگانه، 'run.bat' برای دانلود و اجرای باج‌افزار در تمام ماشین‌های موجود در دامنه استفاده شد.

Agenda/رویکرد Qilin برای هدف قرار دادن اعتبارنامه‌های Chrome به ویژه هشداردهنده است زیرا GPO برای همه ماشین‌های موجود در دامنه اعمال می‌شود. این بدان معناست که هر دستگاهی که کاربر وارد آن می‌شود، تحت فرآیند جمع‌آوری اعتبار قرار می‌گیرد. این اسکریپت به‌طور بالقوه اعتبارنامه‌ها را از همه ماشین‌های شرکت در سراسر شرکت به سرقت می‌برد، تا زمانی که به دامنه متصل بودند و در طول دوره عملیاتی شدن اسکریپت، لاگین‌های کاربر فعال داشتند.

پیامدها و استراتژی های کاهش

سرقت گسترده اعتبار که توسط این روش تسهیل می‌شود، می‌تواند منجر به حملات بعدی، نقض گسترده پلتفرم‌ها و سرویس‌ها شود و تلاش‌های پاسخ را به طور قابل‌توجهی پیچیده کند. علاوه بر این، تهدیدی دائمی را معرفی می کند که ممکن است حتی پس از حل شدن حادثه اولیه باج افزار باقی بماند.

برای کاهش این خطر، سازمان‌ها باید سیاست‌های سخت‌گیرانه‌ای را علیه ذخیره اعتبار در مرورگرهای وب اعمال کنند. اجرای احراز هویت چند عاملی نیز برای محافظت از حساب‌ها در برابر سرقت، حتی در صورت به خطر افتادن اعتبار، بسیار مهم است. علاوه بر این، به کارگیری اصول کمترین امتیاز و بخش‌بندی شبکه می‌تواند به طور قابل توجهی مانع از توانایی عامل تهدید برای حرکت جانبی در یک محیط در معرض خطر شود.

با توجه به پیوندهای Qilin با گروه مهندسی اجتماعی Scattered Spider و قابلیت‌های چند پلتفرمی آن‌ها، این تغییر تاکتیکی نشان‌دهنده خطری اساسی برای سازمان‌ها است. از آنجایی که گروه‌های باج‌افزاری مانند Qilin به تکامل خود ادامه می‌دهند، هوشیاری و فعال بودن در اجرای اقدامات امنیتی قوی‌تر از همیشه ضروری است.