מתקפת תוכנת הכופר של Agenda (Qilin) מובילה לגניבת אישורי Google Chrome
קבוצת תוכנות הכופר Agenda (Qilin) הציגה טקטיקה חדשה מדאיגה: פריסת גנב מותאם אישית לקצירת אישורי חשבון המאוחסנים בדפדפני Google Chrome. התפתחות זו, שנצפה על ידי צוות Sophos X-Ops במהלך מאמצי התגובה לאירועים האחרונים, מסמנת הסלמה משמעותית בנוף תוכנות הכופר, מה שהופך את ההתקפות הללו למאתגרות עוד יותר להתגונן מפניהן.
תוכן העניינים
סקירת התקפה: פירוט מפורט
חוקרי Sophos ניתחו מתקפת Agenda/Qilin שהחלה בכך שהקבוצה קיבלה גישה לרשת באמצעות אישורים שנפגעו עבור פורטל VPN שחסר לו אימות רב-גורמי (MFA). לאחר ההפרה הגיעה תקופה של 18 יום של חוסר פעילות, מה שמצביע על כך שקילין רכשה גישה לרשת ממתווך גישה ראשוני (IAB). במהלך התרדמה הזו, סביר להניח שהתוקפים בילו זמן במיפוי הרשת, בזיהוי נכסים קריטיים ובעריכת סיור.
לאחר תקופת סיור זו, התוקפים עברו לרוחב לבקר תחום, שם שינו אובייקטי מדיניות קבוצתיים (GPOs) כדי להפעיל סקריפט PowerShell, 'IPScanner.ps1', בכל המכונות המחוברות לרשת התחום. סקריפט זה, שהופעל על ידי קובץ אצווה, 'logon.bat', תוכנן במיוחד כדי לאסוף אישורים המאוחסנים ב-Google Chrome.
קצירת אישורי Chrome: שכבה חדשה של סכנה
סקריפט האצווה הפעיל את סקריפט PowerShell בכל פעם שמשתמש נכנס למחשב שלו, והאישורים הגנובים נשמרו בשיתוף 'SYSVOL' תחת השמות 'LD' או 'temp.log'. קבצים אלו נשלחו לאחר מכן לשרת השליטה והבקרה (C2) של Agenda/Qilin, ולאחר מכן נמחקו עותקים מקומיים ויומני אירועים קשורים כדי לכסות את עקבות התוקפים. לאחר מכן, Agenda (Qilin) פרסה את מטען הכופר שלהם, והצפנתה נתונים על פני המכונות שנפרצו. נעשה שימוש ב-GPO נפרד וקובץ אצווה, 'run.bat', כדי להוריד ולהפעיל את תוכנת הכופר בכל המכונות בדומיין.
הגישה של Agenda/Qilin למיקוד אישורי Chrome מדאיגה במיוחד מכיוון שה-GPO חל על כל המכונות בדומיין. המשמעות היא שכל מכשיר שאליו משתמש נכנס היה כפוף לתהליך איסוף האישורים. הסקריפט עלול לגנוב אישורים מכל המכונות ברחבי החברה, כל עוד הם היו מחוברים לדומיין והיו להם כניסות משתמש פעילות במהלך התקופה שבה הסקריפט היה פעיל.
השלכות ואסטרטגיות הפחתה
גניבת האישורים הנרחבת שמאפשרת שיטה זו עלולה להוביל להתקפות מעקב, הפרות נרחבות על פני מספר פלטפורמות ושירותים, ולסבך באופן משמעותי את מאמצי התגובה. יתרה מכך, הוא מציג איום מתמשך שעלול להימשך גם לאחר פתרון תקרית הכופר הראשונית.
כדי להפחית את הסיכון הזה, ארגונים צריכים לאכוף מדיניות קפדנית נגד אחסון אישורים בדפדפני אינטרנט. יישום אימות רב-גורמי חיוני גם בהגנה על חשבונות מפני חטיפת חשבונות, אפילו במקרה של פשרות אישורים. יתר על כן, יישום העקרונות של הרשאות המינימליות ופילוח הרשת עלולים לעכב משמעותית את יכולתו של שחקן האיום לנוע לרוחב בתוך סביבה נפגעת.
בהתחשב בקישורים של Qilin לקבוצת ההנדסה החברתית של Scattered Spider ויכולותיהם הרב-פלטפורמות, שינוי טקטי זה מהווה סיכון מהותי לארגונים. ככל שקבוצות תוכנות כופר כמו Qilin ממשיכות להתפתח, שמירה על ערנות ויזומה ביישום אמצעי אבטחה חזקים היא קריטית מתמיד.