Napad ransomwarea Agenda (Qilin) dovodi do krađe vjerodajnica za Google Chrome
Grupa za ransomware Agenda (Qilin) predstavila je zabrinjavajuću novu taktiku: postavljanje prilagođenog kradljivaca za prikupljanje vjerodajnica računa pohranjenih u preglednicima Google Chrome. Ovaj razvoj događaja, koji je promatrao Sophos X-Ops tim tijekom nedavnih napora odgovora na incidente, označava značajnu eskalaciju u okruženju ransomwarea, čineći ove napade još većim izazovom za obranu.
Sadržaj
Pregled napada: detaljan pregled
Sophosovi istraživači analizirali su Agenda/Qilin napad koji je započeo tako što je grupa dobila pristup mreži putem kompromitiranih vjerodajnica za VPN portal koji nije imao višefaktorsku autentifikaciju (MFA). Povredu je pratilo 18-dnevno razdoblje neaktivnosti, što sugerira da je Qilin možda kupio pristup mreži od brokera za početni pristup (IAB). Tijekom ovog mirovanja, napadači su vjerojatno proveli vrijeme mapirajući mrežu, identificirajući kritična sredstva i provodeći izviđanje.
Nakon ovog razdoblja izviđanja, napadači su se pomaknuli bočno na kontroler domene, gdje su modificirali objekte pravila grupe (GPO) da izvrše PowerShell skriptu, 'IPScanner.ps1,' na svim strojevima prijavljenim na mrežu domene. Ova skripta, koju izvršava batch datoteka, 'logon.bat', posebno je dizajnirana za prikupljanje vjerodajnica pohranjenih u pregledniku Google Chrome.
Chrome prikupljanje vjerodajnica: novi sloj opasnosti
Skupna skripta pokrenula je skriptu PowerShell svaki put kada bi se korisnik prijavio na svoje računalo, a ukradene vjerodajnice spremale su se na 'SYSVOL' dijeljeni dio pod imenima 'LD' ili 'temp.log'. Te su datoteke zatim poslane Agenda/Qilinovom zapovjednom i kontrolnom (C2) poslužitelju, nakon čega su lokalne kopije i povezani zapisnici događaja obrisani kako bi se prikrili tragovi napadača. Nakon toga, Agenda (Qilin) je implementirao svoj ransomware korisni teret, kriptirajući podatke na kompromitiranim strojevima. Odvojeni GPO i batch datoteka, 'run.bat', korišteni su za preuzimanje i pokretanje ransomwarea na svim strojevima u domeni.
Agenda/Qilinov pristup ciljanju vjerodajnica za Chrome posebno je alarmantan jer se GPO primjenjuje na sve strojeve unutar domene. To je značilo da je svaki uređaj na koji se korisnik prijavio podlijegao procesu prikupljanja vjerodajnica. Skripta je potencijalno ukrala vjerodajnice sa svih strojeva u cijeloj tvrtki, sve dok su bili povezani s domenom i imali aktivne korisničke prijave tijekom razdoblja dok je skripta bila operativna.
Posljedice i strategije ublažavanja
Opsežna krađa vjerodajnica omogućena ovom metodom mogla bi dovesti do naknadnih napada, raširenih provala na više platformi i usluga i značajno zakomplicirati odgovor. Štoviše, uvodi stalnu prijetnju koja se može zadržati čak i nakon što se riješi početni incident s ransomwareom.
Kako bi ublažile ovaj rizik, organizacije bi trebale provoditi stroga pravila protiv pohranjivanja vjerodajnica u web preglednicima. Implementacija višefaktorske autentifikacije također je ključna u zaštiti računa od otmice, čak i u slučaju ugrožavanja vjerodajnica. Nadalje, primjena načela najmanjih privilegija i segmentiranje mreže može značajno spriječiti sposobnost aktera prijetnje da se kreće bočno unutar ugroženog okruženja.
S obzirom na Qilinove veze s grupom za društveni inženjering Scattered Spider i njihovim mogućnostima na više platformi, ova taktička promjena predstavlja znatan rizik za organizacije. Kako se skupine ransomwarea kao što je Qilin nastavljaju razvijati, ostati oprezan i proaktivan u provedbi snažnih sigurnosnih mjera kritičnije je nego ikada.