Agenda (Qilin) Ransomware Attack johtaa Google Chromen käyttöoikeustietojen varkaukseen
Agenda (Qilin) lunnasohjelmaryhmä on ottanut käyttöön uuden huolestuttavan taktiikan: mukautetun varastajan ottaminen käyttöön Google Chrome -selaimiin tallennettujen tilien tunnistetietojen keräämiseksi. Tämä kehitys, jonka Sophos X-Ops -tiimi havaitsi äskettäisten tapausten torjuntatoimien aikana, merkitsee kiristyshaittaohjelmien merkittävää eskaloitumista, mikä tekee näistä hyökkäyksistä entistä haastavampaa puolustaa niitä vastaan.
Sisällysluettelo
Hyökkäyksen yleiskatsaus: Yksityiskohtainen erittely
Sophos-tutkijat analysoivat Agenda/Qilin-hyökkäystä, joka alkoi siitä, että ryhmä pääsi verkkoon vaarantuneiden valtuustietojen kautta VPN-portaalille, josta puuttui monitekijätodennus (MFA). Rikkomista seurasi 18 päivän passiivisuusjakso, mikä viittaa siihen, että Qilin saattoi ostaa pääsyn verkkoon alkuperäiseltä pääsynvälittäjältä (IAB). Tämän lepotilan aikana hyökkääjät käyttivät todennäköisesti aikaa verkon kartoittamiseen, kriittisten resurssien tunnistamiseen ja tiedustelemiseen.
Tämän tiedustelujakson jälkeen hyökkääjät siirtyivät sivuttain toimialueen ohjaimeen, jossa he muuttivat ryhmäkäytäntöobjekteja (GPO) suorittamaan PowerShell-komentosarjan "IPScanner.ps1" kaikissa toimialueen verkkoon kirjautuneissa koneissa. Tämä komentosarja, joka suoritetaan erätiedostolla "logon.bat", on suunniteltu erityisesti keräämään Google Chromeen tallennettuja tunnistetietoja.
Chromen valtuustietojen kerääminen: uusi vaara
Eräkomentosarja laukaisi PowerShell-komentosarjan joka kerta, kun käyttäjä kirjautui koneeseensa, ja varastetut tunnistetiedot tallennettiin SYSVOL-osuuteen nimillä LD tai temp.log. Nämä tiedostot lähetettiin sitten Agenda/Qilinin komento- ja ohjauspalvelimelle (C2), minkä jälkeen paikalliset kopiot ja niihin liittyvät tapahtumalokit pyyhittiin peittämään hyökkääjien jäljet. Myöhemmin Agenda (Qilin) otti käyttöön ransomware-hyötykuorman ja salasi tiedot vaarantuneiden koneiden välillä. Erillistä GPO- ja erätiedostoa, "run.bat", käytettiin kiristysohjelman lataamiseen ja suorittamiseen kaikissa toimialueen koneissa.
Agendan/Qilinin lähestymistapa Chromen käyttöoikeustietojen kohdistamiseen on erityisen hälyttävä, koska GPO:ta sovellettiin kaikkiin verkkotunnuksen koneisiin. Tämä tarkoitti, että jokainen laite, jolle käyttäjä kirjautui, joutui valtuustietojen keruuprosessiin. Komentosarja mahdollisesti varasti käyttäjätiedot kaikilta yrityksen koneilta, kunhan ne olivat yhteydessä toimialueeseen ja niillä oli aktiiviset käyttäjätunnukset komentosarjan toimiessa.
Vaikutukset ja lieventämisstrategiat
Tämän menetelmän mahdollistama laaja valtuustietojen varkaus voi johtaa seurantahyökkäyksiin, laajalle levinneisiin tietomurroihin useissa alustoissa ja palveluissa ja vaikeuttaa merkittävästi reagointitoimia. Lisäksi se tuo esiin jatkuvan uhan, joka voi viipyä senkin jälkeen, kun alkuperäinen kiristysohjelmatapahtuma on ratkaistu.
Tämän riskin vähentämiseksi organisaatioiden tulee noudattaa tiukkoja käytäntöjä valtuustietojen tallentamisesta verkkoselaimiin. Monivaiheisen todennuksen käyttöönotto on myös ratkaisevan tärkeää suojattaessa tilejä kaappauksilta, jopa tunnistetietojen vaarantumisen yhteydessä. Lisäksi vähiten etuoikeuksien periaatteiden soveltaminen ja verkon segmentointi voi merkittävästi haitata uhkatoimijan kykyä liikkua sivusuunnassa vaarantuneessa ympäristössä.
Ottaen huomioon Qilinin yhteydet Scattered Spider Social Engineering -ryhmään ja niiden monikäyttöiset ominaisuudet, tämä taktinen muutos on merkittävä riski organisaatioille. Kun Qilinin kaltaiset kiristysohjelmaryhmät kehittyvät edelleen, valppaana pysyminen ja proaktiivisuus vankkojen turvatoimien toteuttamisessa on kriittisempaa kuin koskaan.