Serangan Ransomware Agenda (Qilin) Membawa kepada Kecurian Bukti Bukti Google Chrome
Kumpulan perisian tebusan Agenda (Qilin) telah memperkenalkan taktik baharu yang berkaitan: menggunakan pencuri tersuai untuk menuai bukti kelayakan akaun yang disimpan dalam penyemak imbas Google Chrome. Perkembangan ini, yang diperhatikan oleh pasukan Sophos X-Ops semasa usaha tindak balas insiden baru-baru ini, menandakan peningkatan ketara dalam landskap perisian tebusan, menjadikan serangan ini lebih mencabar untuk dipertahankan.
Isi kandungan
Gambaran Keseluruhan Serangan: Pecahan Terperinci
Penyelidik Sophos menganalisis serangan Agenda/Qilin yang bermula dengan kumpulan itu mendapat akses kepada rangkaian melalui kelayakan yang terjejas untuk portal VPN yang tidak mempunyai pengesahan berbilang faktor (MFA). Pelanggaran itu diikuti dengan tempoh tidak aktif selama 18 hari, yang menunjukkan Qilin mungkin telah membeli akses kepada rangkaian daripada broker akses awal (IAB). Semasa dorman ini, kemungkinan penyerang menghabiskan masa memetakan rangkaian, mengenal pasti aset kritikal dan menjalankan peninjauan.
Selepas tempoh peninjauan ini, penyerang berpindah secara sisi ke pengawal domain, di mana mereka mengubah suai Objek Dasar Kumpulan (GPO) untuk melaksanakan skrip PowerShell, 'IPScanner.ps1,' merentas semua mesin yang dilog masuk ke rangkaian domain. Skrip ini, yang dilaksanakan oleh fail kelompok, 'logon.bat,' direka khusus untuk mengumpul bukti kelayakan yang disimpan dalam Google Chrome.
Penuaian Kredensial Chrome: Lapisan Bahaya Baharu
Skrip kelompok mencetuskan skrip PowerShell setiap kali pengguna log masuk ke mesin mereka, dan bukti kelayakan yang dicuri telah disimpan pada bahagian 'SYSVOL' di bawah nama 'LD' atau 'temp.log.' Fail-fail ini kemudiannya dihantar ke pelayan arahan dan kawalan (C2) Agenda/Qilin, selepas itu salinan tempatan dan log peristiwa yang berkaitan dipadamkan untuk menutup jejak penyerang. Selepas itu, Agenda (Qilin) menggunakan muatan perisian tebusan mereka, menyulitkan data merentasi mesin yang terjejas. Fail GPO dan kumpulan yang berasingan, 'run.bat,' telah digunakan untuk memuat turun dan melaksanakan perisian tebusan merentas semua mesin dalam domain.
Pendekatan Agenda/Qilin untuk menyasarkan bukti kelayakan Chrome amat membimbangkan kerana GPO digunakan untuk semua mesin dalam domain. Ini bermakna setiap peranti yang dilog masuk oleh pengguna tertakluk kepada proses penuaian kelayakan. Skrip berpotensi mencuri bukti kelayakan daripada semua mesin di seluruh syarikat, selagi ia disambungkan ke domain dan mempunyai log masuk pengguna aktif sepanjang tempoh skrip itu beroperasi.
Implikasi dan Strategi Mitigasi
Kecurian kelayakan yang meluas yang difasilitasi oleh kaedah ini boleh membawa kepada serangan susulan, pelanggaran yang meluas merentasi pelbagai platform dan perkhidmatan, dan merumitkan usaha tindak balas dengan ketara. Selain itu, ia memperkenalkan ancaman berterusan yang mungkin berlarutan walaupun selepas insiden ransomware awal diselesaikan.
Untuk mengurangkan risiko ini, organisasi harus menguatkuasakan dasar yang ketat terhadap menyimpan bukti kelayakan dalam pelayar web. Melaksanakan pengesahan berbilang faktor juga penting dalam melindungi akaun daripada rampasan, walaupun sekiranya berlaku kompromi kelayakan. Tambahan pula, menggunakan prinsip keistimewaan paling rendah dan membahagikan rangkaian boleh menghalang keupayaan aktor ancaman untuk bergerak secara menyamping dalam persekitaran yang terjejas.
Memandangkan pautan Qilin kepada kumpulan kejuruteraan sosial Scattered Spider dan keupayaan berbilang platform mereka, anjakan taktikal ini mewakili risiko yang besar kepada organisasi. Memandangkan kumpulan perisian tebusan seperti Qilin terus berkembang, sentiasa berwaspada dan proaktif dalam melaksanakan langkah keselamatan yang teguh adalah lebih kritikal berbanding sebelum ini.