Agenda (Qilin) Ransomware-angrepet fører til Google Chrome-legitimasjonstyveri
Agenda (Qilin) løsepengevaregruppen har introdusert en bekymringsfull ny taktikk: å distribuere en tilpasset stjeler for å hente kontolegitimasjon som er lagret i Google Chrome-nettlesere. Denne utviklingen, observert av Sophos X-Ops-teamet under nylige hendelsesforsøk, markerer en betydelig eskalering i løsepengevarelandskapet, noe som gjør disse angrepene enda mer utfordrende å forsvare seg mot.
Innholdsfortegnelse
Angrepsoversikt: En detaljert sammenbrudd
Sophos-forskere analyserte et Agenda/Qilin-angrep som begynte med at gruppen fikk tilgang til et nettverk via kompromittert legitimasjon for en VPN-portal som manglet multifaktorautentisering (MFA). Bruddet ble fulgt av en 18-dagers periode med inaktivitet, noe som tyder på at Qilin kan ha kjøpt tilgang til nettverket fra en første tilgangsmegler (IAB). Under denne dvalen er det sannsynlig at angriperne brukte tid på å kartlegge nettverket, identifisere kritiske eiendeler og gjennomføre rekognosering.
Etter denne rekognoseringsperioden flyttet angriperne sideveis til en domenekontroller, hvor de modifiserte gruppepolicyobjekter (GPOer) for å kjøre et PowerShell-skript, 'IPScanner.ps1', på tvers av alle maskiner som var logget på domenenettverket. Dette skriptet, utført av en batchfil, 'logon.bat', ble spesielt utviklet for å samle inn legitimasjon lagret i Google Chrome.
Chrome Credential Harvesting: A New Layer of Danger
Batchskriptet utløste PowerShell-skriptet hver gang en bruker logget på maskinen sin, og den stjålne legitimasjonen ble lagret på 'SYSVOL'-andelen under navnene 'LD' eller 'temp.log'. Disse filene ble deretter sendt til Agenda/Qilins kommando- og kontrollserver (C2), hvoretter lokale kopier og relaterte hendelseslogger ble slettet for å dekke angripernes spor. Deretter distribuerte Agenda (Qilin) deres løsepengeprogramvare, og krypterte data på tvers av de kompromitterte maskinene. En separat GPO og batch-fil, 'run.bat', ble brukt til å laste ned og kjøre løsepengevare på alle maskiner i domenet.
Agenda/Qilins tilnærming til å målrette Chrome-legitimasjon er spesielt alarmerende fordi GPO gjaldt alle maskiner innenfor domenet. Dette betydde at hver enhet en bruker logget på var gjenstand for innhentingsprosessen for legitimasjon. Skriptet stjal potensielt legitimasjon fra alle maskiner på tvers av selskapet, så lenge de var koblet til domenet og hadde aktive brukerpålogginger i perioden skriptet var i drift.
Implikasjoner og avbøtende strategier
Det omfattende legitimasjonstyveriet tilrettelagt av denne metoden kan føre til oppfølgingsangrep, omfattende brudd på tvers av flere plattformer og tjenester, og betydelig komplisere responsinnsatsen. Dessuten introduserer det en vedvarende trussel som kan henge igjen selv etter at den første løsepengevarehendelsen er løst.
For å redusere denne risikoen, bør organisasjoner håndheve strenge retningslinjer mot lagring av legitimasjon i nettlesere. Implementering av multifaktorautentisering er også avgjørende for å beskytte kontoer mot kapring, selv i tilfelle av kompromitteringer av legitimasjon. Videre kan bruk av prinsippene om minste privilegium og segmentering av nettverket betydelig hindre en trusselaktørs evne til å bevege seg sideveis innenfor et kompromittert miljø.
Gitt Qilins koblinger til Scattered Spider sosial ingeniørgruppe og deres multi-plattform evner, representerer dette taktiske skiftet en betydelig risiko for organisasjoner. Ettersom løsepengevaregrupper som Qilin fortsetter å utvikle seg, er det mer kritisk enn noen gang å være årvåken og proaktiv med å implementere robuste sikkerhetstiltak.