Az Agenda (Qilin) Ransomware támadás a Google Chrome hitelesítő adatainak ellopásához vezet
Az Agenda (Qilin) ransomware csoport egy aggályos új taktikát vezetett be: egyéni tolvajt telepít a Google Chrome böngészőkben tárolt hitelesítő adatok begyűjtésére. Ez a fejlemény, amelyet a Sophos X-Ops csapata a közelmúltbeli incidensekre tett erőfeszítései során figyelt meg, jelentős eszkalációt jelez a ransomware-környezetben, és még nagyobb kihívást jelent a támadások elleni védekezésben.
Tartalomjegyzék
Támadás áttekintése: Részletes lebontás
A Sophos kutatói egy Agenda/Qilin támadást elemeztek, amely azzal kezdődött, hogy a csoport feltört hitelesítési adatokon keresztül hozzáfért egy hálózathoz egy olyan VPN-portálhoz, amely nem tartalmazta a többtényezős hitelesítést (MFA). A megsértést 18 napos inaktivitás követte, ami arra utal, hogy Qilin hozzáférést vásárolhatott a hálózathoz egy kezdeti hozzáférési közvetítőtől (IAB). A nyugalmi időszak alatt a támadók valószínűleg időt töltöttek a hálózat feltérképezésével, a kritikus eszközök azonosításával és a felderítéssel.
A felderítési időszak után a támadók oldalirányban egy tartományvezérlőhöz költöztek, ahol úgy módosították a csoportházirend-objektumokat (GPO), hogy a tartományhálózatba bejelentkezett összes gépen egy PowerShell-szkriptet (IPScanner.ps1) hajtsanak végre. Ezt a „logon.bat” kötegfájllal végrehajtott szkriptet kifejezetten a Google Chrome-ban tárolt hitelesítő adatok összegyűjtésére tervezték.
Chrome hitelesítő adatok begyűjtése: a veszély új rétege
A kötegelt szkript minden alkalommal elindította a PowerShell-szkriptet, amikor egy felhasználó bejelentkezett a gépére, és az ellopott hitelesítő adatokat a „SYSVOL” megosztáson „LD” vagy „temp.log” néven mentették. Ezeket a fájlokat ezután elküldték az Agenda/Qilin parancs- és vezérlőkiszolgálójára (C2), majd a helyi másolatokat és a kapcsolódó eseménynaplókat törölték, hogy elfedjék a támadók nyomait. Ezt követően az Agenda (Qilin) telepítette a ransomware-t, titkosítva az adatokat a feltört gépeken. Egy külön csoportházirend-objektum és kötegfájl, a „run.bat” a zsarolóprogram letöltésére és végrehajtására szolgált a tartomány összes gépén.
Az Agenda/Qilin megközelítése a Chrome hitelesítő adatok megcélzására különösen riasztó, mivel a csoportházirend-objektum a tartományon belüli összes gépre vonatkozott. Ez azt jelentette, hogy minden olyan eszközön, amelyre a felhasználó bejelentkezett, a hitelesítő adatok begyűjtése folyamatban van. A szkript potenciálisan ellopta a hitelesítési adatokat a vállalat összes gépéről, amennyiben azok csatlakoztak a tartományhoz, és aktív felhasználói bejelentkezéssel rendelkeztek a szkript működése alatt.
Következmények és mérséklési stratégiák
Az ezzel a módszerrel elősegített kiterjedt hitelesítő adatlopás utólagos támadásokhoz, több platformon és szolgáltatáson keresztül terjedő széles körű jogsértésekhez vezethet, és jelentősen megnehezítheti a válaszadási erőfeszítéseket. Ezenkívül tartós fenyegetést jelent, amely még a kezdeti ransomware incidens megoldása után is fennállhat.
Ennek a kockázatnak a csökkentése érdekében a szervezeteknek szigorú szabályokat kell bevezetniük a hitelesítő adatok webböngészőben való tárolása ellen. A többtényezős hitelesítés megvalósítása szintén kulcsfontosságú a fiókok eltérítésével szembeni védelmében, még hitelesítő adatokkal való visszaélés esetén is. Ezen túlmenően a legkisebb jogosultság elvének alkalmazása és a hálózat szegmentálása jelentősen akadályozhatja a fenyegetett szereplők azon képességét, hogy oldalirányban mozogjanak egy kompromittált környezetben.
Figyelembe véve Qilin kapcsolatait a Scattered Spider social engineering csoporttal és többplatformos képességeiket, ez a taktikai váltás jelentős kockázatot jelent a szervezetek számára. Ahogy a ransomware-csoportok, mint például a Qilin, folyamatosan fejlődnek, az éberség és a proaktív szerepvállalás a robusztus biztonsági intézkedések végrehajtása során kritikusabb, mint valaha.