„Agenda“ („Qilin“) „ransomware“ ataka veda į „Google Chrome“ kredencialų vagystę
„ Agenda“ („Qilin“) išpirkos reikalaujančių programų grupė pristatė naują susirūpinimą keliančią taktiką: pritaikytą vagį, skirtą „Google Chrome“ naršyklėse saugomiems paskyros kredencialams surinkti. Šis pokytis, kurį „Sophos X-Ops“ komanda pastebėjo per pastarojo meto reagavimo į incidentus pastangas, žymi reikšmingą „ransomware“ aplinkos eskalaciją, todėl apsiginti nuo šių atakų tampa dar sudėtingiau.
Turinys
Atakos apžvalga: išsamus suskirstymas
„Sophos“ tyrėjai išanalizavo „Agenda“ / „Qilin“ ataką, prasidėjusią, kai grupė gavo prieigą prie tinklo per pažeistus VPN portalo, kuriame trūko daugiafaktorinio autentifikavimo (MFA), kredencialus. Po pažeidimo sekė 18 dienų neveiklumo laikotarpis, o tai rodo, kad Qilin galėjo įsigyti prieigą prie tinklo iš pradinio prieigos tarpininko (IAB). Tikėtina, kad per šį ramybės būseną užpuolikai praleido laiką kurdami tinklą, nustatydami svarbiausius išteklius ir atlikdami žvalgybą.
Pasibaigus šiam žvalgybos laikotarpiui, užpuolikai perėjo į šoną prie domeno valdiklio, kur modifikavo grupės strategijos objektus (GPO), kad vykdytų PowerShell scenarijų „IPScanner.ps1“ visuose įrenginiuose, prisijungusiuose prie domeno tinklo. Šis scenarijus, vykdomas paketiniu failu „logon.bat“, buvo specialiai sukurtas „Google Chrome“ saugomiems kredencialams rinkti.
„Chrome“ kredencialų rinkimas: naujas pavojaus sluoksnis
Paketinis scenarijus suaktyvindavo „PowerShell“ scenarijų kiekvieną kartą, kai vartotojas prisijungdavo prie savo kompiuterio, o pavogti kredencialai buvo išsaugomi „SYSVOL“ bendriname pavadinimais „LD“ arba „temp.log“. Tada šie failai buvo išsiųsti į „Agenda“ / „Qilin“ komandų ir valdymo (C2) serverį, o po to vietinės kopijos ir susiję įvykių žurnalai buvo nuvalyti, kad apimtų užpuolikų pėdsakus. Vėliau „Agenda“ („Qilin“) įdiegė išpirkos reikalaujančią programinę įrangą, užšifruodama duomenis visose pažeistose mašinose. Atskiras GPO ir paketinis failas „run.bat“ buvo naudojamas norint atsisiųsti ir vykdyti išpirkos reikalaujančią programinę įrangą visuose domeno įrenginiuose.
„Agenda“ / „Qilin“ požiūris į „Chrome“ kredencialų taikymą ypač kelia nerimą, nes GPO taikoma visiems domeno įrenginiams. Tai reiškė, kad kiekvienam įrenginiui, prie kurio prisijungė vartotojas, buvo taikomas kredencialų rinkimo procesas. Scenarijus galėjo pavogti kredencialus iš visų įmonės kompiuterių, jei jie buvo prijungti prie domeno ir turėjo aktyvius naudotojų prisijungimus scenarijaus veikimo laikotarpiu.
Pasekmės ir mažinimo strategijos
Dėl plataus masto kredencialų vagystės, kurią palengvino šis metodas, gali kilti tolesnių atakų, plačiai paplitusių pažeidimų įvairiose platformose ir paslaugose bei labai apsunkinti atsako pastangas. Be to, tai kelia nuolatinę grėsmę, kuri gali išlikti net ir išsprendus pradinį išpirkos programinės įrangos incidentą.
Siekdamos sumažinti šią riziką, organizacijos turėtų laikytis griežtų kredencialų saugojimo žiniatinklio naršyklėse politiką. Kelių veiksnių autentifikavimo įgyvendinimas taip pat yra labai svarbus siekiant apsaugoti paskyras nuo užgrobimo, net ir kredencialų pažeidimo atveju. Be to, mažiausiųjų privilegijų principų taikymas ir tinklo skirstymas į segmentus gali labai sutrukdyti grėsmės subjekto gebėjimui judėti į šoną pažeistoje aplinkoje.
Atsižvelgiant į Qilin sąsajas su socialinės inžinerijos grupe „Scattered Spider“ ir jų daugiaplatformes galimybes, šis taktinis poslinkis kelia didelę riziką organizacijoms. Kadangi išpirkos reikalaujančių programų grupės, pvz., Qilin, toliau vystosi, išlikti budriems ir aktyviai diegti patikimas saugumo priemones yra svarbiau nei bet kada anksčiau.