एजेन्डा (किलिन) र्यान्समवेयर आक्रमणले गुगल क्रोम क्रेडेन्सियल चोरी निम्त्याउँछ

एजेन्डा (किलिन) ransomware समूहले एउटा नयाँ रणनीति प्रस्तुत गरेको छ: गुगल क्रोम ब्राउजरहरूमा भण्डारण गरिएका खाता प्रमाणहरू फसल गर्न अनुकूलन चोर तैनाथ गर्ने। सोफोस एक्स-अप्स टोलीले हालैका घटना प्रतिक्रिया प्रयासहरूको क्रममा अवलोकन गरेको यो विकासले ransomware परिदृश्यमा महत्त्वपूर्ण वृद्धिलाई चिन्ह लगाउँछ, जसले यी आक्रमणहरूलाई विरुद्धको रक्षा गर्न अझ चुनौतीपूर्ण बनाउँछ।

आक्रमण अवलोकन: विस्तृत ब्रेकडाउन

Sophos अनुसन्धानकर्ताहरूले एजेन्डा/किलिन आक्रमणको विश्लेषण गरे जुन समूहले बहु-कारक प्रमाणीकरण (MFA) को अभाव भएको VPN पोर्टलको लागि सम्झौता प्रमाणहरू मार्फत नेटवर्कमा पहुँच प्राप्त गर्न सुरु गर्यो। उल्लङ्घन 18-दिनको निष्क्रियताको अवधि पछि गरिएको थियो, जसले सुझाव दिन्छ कि किलिनले प्रारम्भिक पहुँच ब्रोकर (IAB) बाट नेटवर्कमा पहुँच खरिद गरेको हुन सक्छ। यो सुप्तताको समयमा, सम्भवतः आक्रमणकारीहरूले नेटवर्क म्यापिङ गर्न, महत्वपूर्ण सम्पत्तिहरू पहिचान गर्न, र जासूसी सञ्चालन गर्न समय बिताएका थिए।

यो जासूसी अवधि पछि, आक्रमणकारीहरू डोमेन नियन्त्रकमा पछि गएर गए, जहाँ उनीहरूले डोमेन नेटवर्कमा लगइन गरिएका सबै मेसिनहरूमा PowerShell स्क्रिप्ट, 'IPScanner.ps1' कार्यान्वयन गर्न समूह नीति वस्तुहरू (GPOs) परिमार्जन गरे। यो स्क्रिप्ट, एक ब्याच फाइल, 'logon.bat' द्वारा निष्पादित, विशेष गरी Google Chrome मा भण्डारण गरिएका प्रमाणहरू सङ्कलन गर्न डिजाइन गरिएको थियो।

क्रोम क्रेडेंशियल हार्वेस्टिङ: खतराको नयाँ तह

ब्याच स्क्रिप्टले प्रत्येक पटक प्रयोगकर्ताले आफ्नो मेसिनमा लग इन गर्दा PowerShell स्क्रिप्टलाई ट्रिगर गर्‍यो, र चोरी गरिएका प्रमाणहरू 'LD' वा 'temp.log' नामहरू अन्तर्गत 'SYSVOL' सेयरमा सुरक्षित गरियो। यी फाइलहरू त्यसपछि एजेन्डा/किलिनको कमाण्ड र कन्ट्रोल (C2) सर्भरमा पठाइयो, त्यसपछि स्थानीय प्रतिलिपिहरू र सम्बन्धित घटना लगहरू आक्रमणकारीहरूको ट्र्याकहरू कभर गर्न मेटाइयो। पछि, एजेन्डा (किलिन) ले आफ्नो ransomware पेलोडलाई प्रयोग गर्‍यो, सम्झौता गरिएका मेसिनहरूमा डेटा इन्क्रिप्ट गर्दै। डोमेनका सबै मेसिनहरूमा ransomware डाउनलोड गर्न र कार्यान्वयन गर्न छुट्टै GPO र ब्याच फाइल, 'run.bat' प्रयोग गरियो।

क्रोम प्रमाणहरू लक्षित गर्न एजेन्डा/किलिनको दृष्टिकोण विशेष गरी चिन्ताजनक छ किनभने GPO डोमेन भित्रका सबै मेसिनहरूमा लागू गरिएको छ। यसको मतलब यो हो कि प्रयोगकर्ताले लग इन गरेको प्रत्येक यन्त्र क्रेडेन्सियल कटाई प्रक्रियाको अधीनमा थियो। स्क्रिप्टले सम्भावित रूपमा कम्पनीका सबै मेसिनहरूबाट प्रमाणहरू चोरेको थियो, जबसम्म तिनीहरू डोमेनमा जडान भएका थिए र स्क्रिप्ट सञ्चालन भएको अवधिमा सक्रिय प्रयोगकर्ता लगइनहरू थिए।

प्रभाव र न्यूनीकरण रणनीतिहरू

यस विधिद्वारा सहजीकरण गरिएको व्यापक प्रमाणिक चोरीले फलो-अप आक्रमणहरू, धेरै प्लेटफर्महरू र सेवाहरूमा व्यापक उल्लङ्घनहरू, र प्रतिक्रिया प्रयासहरूलाई महत्त्वपूर्ण रूपमा जटिल बनाउन सक्छ। यसबाहेक, यसले एक निरन्तर खतरा परिचय गराउँछ जुन प्रारम्भिक ransomware घटना समाधान भइसकेपछि पनि रहन सक्छ।

यस जोखिमलाई कम गर्न, संगठनहरूले वेब ब्राउजरहरूमा प्रमाणहरू भण्डारण गर्ने विरुद्ध कडा नीतिहरू लागू गर्नुपर्छ। खाताहरूलाई अपहरणबाट जोगाउन बहु-कारक प्रमाणीकरण लागू गर्नु पनि महत्त्वपूर्ण छ, प्रमाणिक सम्झौताहरूको घटनामा पनि। यसबाहेक, कम्तिमा विशेषाधिकारको सिद्धान्तहरू लागू गर्न र नेटवर्कलाई विभाजन गर्नाले खतराकर्ताको एक सम्झौता गरिएको वातावरण भित्र पार्श्व रूपमा सार्न सक्ने क्षमतालाई महत्त्वपूर्ण रूपमा बाधा पुर्याउन सक्छ।

स्क्याटेर्ड स्पाइडर सोशल इन्जिनियरिङ् समूह र तिनीहरूको बहु-प्लेटफर्म क्षमताहरूमा Qilin को लिङ्कहरू दिइएको छ, यो रणनीतिक परिवर्तनले संगठनहरूको लागि पर्याप्त जोखिम प्रतिनिधित्व गर्दछ। Qilin जस्ता ransomware समूहहरूको विकास जारी रहँदा, बलियो सुरक्षा उपायहरू लागू गर्न सतर्क र सक्रिय रहनु पहिलेको भन्दा बढी महत्त्वपूर्ण छ।