Agenda (Qilin) Ransomware uzbrukums noved pie Google Chrome akreditācijas datu zādzības
Agenda (Qilin) izspiedējvīrusu grupa ir ieviesusi jaunu satraucošu taktiku: pielāgota zagļa izvietošana, lai iegūtu Google Chrome pārlūkprogrammās saglabātos konta akreditācijas datus. Šī attīstība, ko Sophos X-Ops komanda novēroja neseno incidentu reaģēšanas centienos, iezīmē ievērojamu izspiedējvīrusu ainavas eskalāciju, padarot šos uzbrukumus vēl grūtāk aizsargāties pret tiem.
Satura rādītājs
Uzbrukuma pārskats: detalizēts sadalījums
Sophos pētnieki analizēja Agenda/Qilin uzbrukumu, kas sākās ar to, ka grupa ieguva piekļuvi tīklam, izmantojot apdraudētus VPN portāla akreditācijas datus, kam trūka daudzfaktoru autentifikācijas (MFA). Pārkāpumam sekoja 18 dienas bezdarbības periods, kas liecina, ka Qilin, iespējams, iegādājās piekļuvi tīklam no sākotnējās piekļuves brokera (IAB). Visticamāk, ka šajā miera periodā uzbrucēji pavadīja laiku, kartējot tīklu, identificējot kritiskos līdzekļus un veicot izlūkošanu.
Pēc šī izlūkošanas perioda uzbrucēji pārcēlās uz sāniem uz domēna kontrolleri, kur modificēja grupas politikas objektus (GPO), lai izpildītu PowerShell skriptu “IPScanner.ps1” visās iekārtās, kas bija pieteikušās domēna tīklā. Šis skripts, ko izpilda sērijveida fails “logon.bat”, tika īpaši izstrādāts, lai apkopotu pārlūkā Google Chrome saglabātos akreditācijas datus.
Chrome akreditācijas datu ievākšana: jauns briesmu slānis
Pakešu skripts aktivizēja PowerShell skriptu katru reizi, kad lietotājs pieteicās savā datorā, un nozagtie akreditācijas dati tika saglabāti SYSVOL koplietojumā ar nosaukumiem "LD" vai "temp.log". Pēc tam šie faili tika nosūtīti uz Agenda/Qilin komandu un kontroles (C2) serveri, pēc tam vietējās kopijas un saistīto notikumu žurnāli tika notīrīti, lai aptvertu uzbrucēju pēdas. Pēc tam Agenda (Qilin) izvietoja savu izspiedējvīrusu lietderīgo slodzi, šifrējot datus visās apdraudētajās iekārtās. Atsevišķs GPO un pakešfails “run.bat” tika izmantots, lai lejupielādētu un izpildītu izspiedējvīrusu visās domēna ierīcēs.
Agenda/Qilin pieeja mērķauditorijas atlasei pēc Chrome akreditācijas datiem ir īpaši satraucoša, jo GPO tika lietots visām iekārtām domēnā. Tas nozīmēja, ka katra ierīce, kurā lietotājs ir pieteicies, tika pakļauta akreditācijas datu iegūšanas procesam. Skripts, iespējams, nozaga akreditācijas datus no visām iekārtām visā uzņēmumā, ja vien tās bija savienotas ar domēnu un bija aktīvas lietotāju pieteikšanās skripta darbības laikā.
Ietekme un seku mazināšanas stratēģijas
Plašā akreditācijas datu zādzība, ko veicina šī metode, var izraisīt turpmākus uzbrukumus, plaši izplatītus pārkāpumus vairākās platformās un pakalpojumos un ievērojami sarežģīt atbildes pasākumus. Turklāt tas rada pastāvīgus draudus, kas var saglabāties pat pēc sākotnējā izpirkuma programmatūras incidenta novēršanas.
Lai mazinātu šo risku, organizācijām ir jāievieš stingras politikas pret akreditācijas datu glabāšanu tīmekļa pārlūkprogrammās. Daudzfaktoru autentifikācijas ieviešana ir arī ļoti svarīga, lai aizsargātu kontus pret nolaupīšanu pat akreditācijas datu apdraudējuma gadījumā. Turklāt mazāko privilēģiju principu piemērošana un tīkla segmentēšana var ievērojami kavēt apdraudējuma dalībnieku spēju pārvietoties uz sāniem apdraudētā vidē.
Ņemot vērā Qilin saites ar Scattered Spider sociālās inženierijas grupu un to daudzplatformu iespējas, šī taktiskā maiņa rada būtisku risku organizācijām. Tā kā izspiedējvīrusu grupas, piemēram, Qilin, turpina attīstīties, būt modram un aktīvam, ieviešot stingrus drošības pasākumus, ir svarīgāk nekā jebkad agrāk.