របៀបវារៈ (Qilin) ការវាយប្រហារ Ransomware នាំទៅដល់ការលួចអត្តសញ្ញាណប័ណ្ណ Google Chrome
Agenda (Qilin) ក្រុម ransomware បានណែនាំអំពីយុទ្ធសាស្ត្រថ្មី៖ ការដាក់ពង្រាយអ្នកលួចផ្ទាល់ខ្លួនដើម្បីប្រមូលព័ត៌មានសម្ងាត់គណនីដែលរក្សាទុកក្នុងកម្មវិធីរុករក Google Chrome ។ ការអភិវឌ្ឍន៍នេះ សង្កេតឃើញដោយក្រុម Sophos X-Ops ក្នុងអំឡុងពេលកិច្ចខិតខំប្រឹងប្រែងឆ្លើយតបឧបទ្ទវហេតុនាពេលថ្មីៗនេះ បង្ហាញពីការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងទិដ្ឋភាព ransomware ដែលធ្វើឱ្យការវាយប្រហារទាំងនេះកាន់តែពិបាកការពារប្រឆាំងនឹង។
តារាងមាតិកា
ទិដ្ឋភាពទូទៅនៃការវាយប្រហារ៖ ការវិភាគលម្អិត
អ្នកស្រាវជ្រាវ Sophos បានវិភាគការវាយប្រហារតាមរបៀបវារៈ/Qilin ដែលចាប់ផ្តើមដោយក្រុមទទួលបានសិទ្ធិចូលប្រើបណ្តាញតាមរយៈព័ត៌មានសម្ងាត់ដែលត្រូវបានសម្របសម្រួលសម្រាប់វិបផតថល VPN ដែលខ្វះការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) ។ ការបំពាននេះត្រូវបានបន្តដោយរយៈពេល 18 ថ្ងៃនៃភាពអសកម្ម ដែលបង្ហាញថា Qilin ប្រហែលជាបានទិញសិទ្ធិចូលប្រើបណ្តាញពីឈ្មួញកណ្តាលចូលដំណើរការដំបូង (IAB) ។ ក្នុងអំឡុងពេលនៃការងងុយដេកនេះ ទំនងជាអ្នកវាយប្រហារបានចំណាយពេលធ្វើផែនទីបណ្តាញ កំណត់អត្តសញ្ញាណទ្រព្យសម្បត្តិសំខាន់ៗ និងធ្វើការស៊ើបអង្កេត។
បន្ទាប់ពីរយៈពេលនៃការឈ្លបយកការណ៍នេះ អ្នកវាយប្រហារបានផ្លាស់ប្តូរនៅពេលក្រោយទៅកាន់ឧបករណ៍បញ្ជាដែន ដែលពួកគេកែប្រែ វត្ថុគោលការណ៍ក្រុម (GPOs) ដើម្បីប្រតិបត្តិស្គ្រីប PowerShell 'IPScanner.ps1' នៅលើម៉ាស៊ីនទាំងអស់ដែលបានចូលទៅក្នុងបណ្តាញដែន។ ស្គ្រីបនេះដំណើរការដោយឯកសារបាច់មួយ 'logon.bat' ត្រូវបានរចនាឡើងជាពិសេសដើម្បីប្រមូលព័ត៌មានសម្ងាត់ដែលរក្សាទុកក្នុង Google Chrome ។
ការប្រមូលផលអត្តសញ្ញាណរបស់ Chrome៖ ស្រទាប់ថ្មីនៃគ្រោះថ្នាក់
ស្គ្រីបជាបាច់បានកេះស្គ្រីប PowerShell រាល់ពេលដែលអ្នកប្រើប្រាស់ចូលទៅក្នុងម៉ាស៊ីនរបស់ពួកគេ ហើយព័ត៌មានសម្ងាត់ដែលត្រូវបានលួចត្រូវបានរក្សាទុកនៅលើការចែករំលែក 'SYSVOL' ក្រោមឈ្មោះ 'LD' ឬ 'temp.log'។ បន្ទាប់មកឯកសារទាំងនេះត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C2) របស់ Agenda/Qilin ហើយបន្ទាប់មកច្បាប់ចម្លងក្នុងស្រុក និងកំណត់ហេតុព្រឹត្តិការណ៍ដែលពាក់ព័ន្ធត្រូវបានលុបចោល ដើម្បីគ្របដណ្តប់បទរបស់អ្នកវាយប្រហារ។ ក្រោយមក Agenda (Qilin) បានដាក់ពង្រាយ ransomware payload របស់ពួកគេ ដោយធ្វើការអ៊ិនគ្រីបទិន្នន័យនៅទូទាំងម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ GPO និងឯកសារបាច់ដាច់ដោយឡែកមួយ 'run.bat' ត្រូវបានប្រើដើម្បីទាញយក និងប្រតិបត្តិ ransomware នៅទូទាំងម៉ាស៊ីនទាំងអស់នៅក្នុងដែន។
វិធីសាស្រ្តរបស់របៀបវារៈ/Qilin ដើម្បីកំណត់គោលដៅកំណត់អត្តសញ្ញាណរបស់ Chrome គឺគួរឱ្យព្រួយបារម្ភជាពិសេសដោយសារតែ GPO បានអនុវត្តចំពោះម៉ាស៊ីនទាំងអស់នៅក្នុងដែន។ នេះមានន័យថារាល់ឧបករណ៍ដែលអ្នកប្រើប្រាស់បានចូលគឺត្រូវឆ្លងកាត់ដំណើរការប្រមូលផលដែលមានការទទួលស្គាល់។ ស្គ្រីបអាចលួចព័ត៌មានសម្ងាត់ពីគ្រប់ម៉ាស៊ីនទាំងអស់នៅទូទាំងក្រុមហ៊ុន ដរាបណាពួកវាត្រូវបានភ្ជាប់ទៅដែន ហើយមានអ្នកប្រើប្រាស់សកម្មចូលក្នុងអំឡុងពេលដែលស្គ្រីបដំណើរការ។
ផលប៉ះពាល់ និងយុទ្ធសាស្ត្រកាត់បន្ថយ
ការលួចព័ត៌មានសម្ងាត់យ៉ាងទូលំទូលាយដែលសម្របសម្រួលដោយវិធីសាស្ត្រនេះអាចនាំឱ្យមានការវាយប្រហារតាមក្រោយ ការបំពានយ៉ាងទូលំទូលាយនៅទូទាំងវេទិកា និងសេវាកម្មជាច្រើន និងធ្វើឱ្យកិច្ចខិតខំប្រឹងប្រែងឆ្លើយតបមានភាពស្មុគស្មាញយ៉ាងខ្លាំង។ ជាងនេះទៅទៀត វាណែនាំការគំរាមកំហែងជាប់លាប់ ដែលអាចបន្តកើតមាន សូម្បីតែបន្ទាប់ពីឧប្បត្តិហេតុ ransomware ដំបូងត្រូវបានដោះស្រាយ។
ដើម្បីកាត់បន្ថយហានិភ័យនេះ អង្គការគួរតែអនុវត្តគោលការណ៍តឹងរ៉ឹងប្រឆាំងនឹងការរក្សាទុកព័ត៌មានសម្ងាត់នៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ ការអនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តាក៏សំខាន់ផងដែរក្នុងការការពារគណនីពីការលួច សូម្បីតែក្នុងករណីមានការសម្របសម្រួលព័ត៌មានសម្ងាត់ក៏ដោយ។ លើសពីនេះ ការអនុវត្តគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត និងការបែងចែកបណ្តាញអាចរារាំងយ៉ាងខ្លាំងនូវសមត្ថភាពរបស់តួអង្គគំរាមកំហែងក្នុងការផ្លាស់ទីនៅពេលក្រោយក្នុងបរិយាកាសសម្របសម្រួល។
ដោយទទួលបានតំណភ្ជាប់របស់ Qilin ទៅនឹងក្រុមវិស្វកម្មសង្គម Scattered Spider និងសមត្ថភាពពហុវេទិការបស់ពួកគេ ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រនេះតំណាងឱ្យហានិភ័យយ៉ាងធំធេងចំពោះអង្គការ។ នៅពេលដែលក្រុម ransomware ដូចជា Qilin បន្តវិវឌ្ឍ ការរក្សាការប្រុងប្រយ័ត្ន និងសកម្មក្នុងការអនុវត្តវិធានការសន្តិសុខដ៏រឹងមាំគឺមានសារៈសំខាន់ជាងពេលណាទាំងអស់។