Атака вируса-вымогателя Agenda (Qilin) приводит к краже учетных данных Google Chrome
Группа вымогателей Agenda (Qilin) представила новую тревожную тактику: развертывание специального похитителя для сбора учетных данных, хранящихся в браузерах Google Chrome. Это развитие, отмеченное командой Sophos X-Ops во время недавних усилий по реагированию на инциденты, знаменует собой значительную эскалацию ландшафта вымогателей, что делает эти атаки еще более сложными для защиты.
Оглавление
Обзор атаки: подробный анализ
Исследователи Sophos проанализировали атаку Agenda/Qilin, которая началась с того, что группа получила доступ к сети через скомпрометированные учетные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация (MFA). За взломом последовал 18-дневный период бездействия, что позволяет предположить, что Qilin могла приобрести доступ к сети у брокера первоначального доступа (IAB). Во время этого бездействия злоумышленники, вероятно, потратили время на картографирование сети, выявление критически важных активов и проведение разведки.
После этого периода разведки злоумышленники переместились на контроллер домена, где они изменили объекты групповой политики (GPO) для выполнения скрипта PowerShell, «IPScanner.ps1», на всех машинах, вошедших в доменную сеть. Этот скрипт, выполняемый пакетным файлом, «logon.bat», был специально разработан для сбора учетных данных, хранящихся в Google Chrome.
Сбор учетных данных Chrome: новый уровень опасности
Пакетный скрипт запускал скрипт PowerShell каждый раз, когда пользователь входил в свою машину, а украденные учетные данные сохранялись в общем ресурсе 'SYSVOL' под именами 'LD' или 'temp.log'. Затем эти файлы отправлялись на сервер управления и контроля (C2) Agenda/Qilin, после чего локальные копии и соответствующие журналы событий стирались, чтобы скрыть следы злоумышленников. Впоследствии Agenda (Qilin) развернула свою полезную нагрузку вымогателя, зашифровав данные на скомпрометированных машинах. Отдельный GPO и пакетный файл 'run.bat' использовались для загрузки и выполнения вымогателя на всех машинах в домене.
Подход Agenda/Qilin к нацеливанию учетных данных Chrome особенно тревожен, поскольку GPO применялся ко всем машинам в домене. Это означало, что каждое устройство, на которое входил пользователь, подвергалось процессу сбора учетных данных. Скрипт потенциально крал учетные данные со всех машин в компании, если они были подключены к домену и имели активные входы пользователей в течение периода работы скрипта.
Последствия и стратегии смягчения последствий
Масштабная кража учетных данных, осуществляемая этим методом, может привести к последующим атакам, широко распространенным нарушениям на нескольких платформах и сервисах и значительно усложнить усилия по реагированию. Более того, это создает постоянную угрозу, которая может сохраняться даже после устранения первоначального инцидента с программой-вымогателем.
Чтобы снизить этот риск, организации должны применять строгие политики против хранения учетных данных в веб-браузерах. Реализация многофакторной аутентификации также имеет решающее значение для защиты учетных записей от перехвата, даже в случае компрометации учетных данных. Кроме того, применение принципов наименьших привилегий и сегментации сети может значительно затруднить способность субъекта угрозы перемещаться горизонтально в скомпрометированной среде.
Учитывая связи Qilin с группой социальной инженерии Scattered Spider и их многоплатформенные возможности, этот тактический сдвиг представляет существенный риск для организаций. Поскольку такие группы вымогателей, как Qilin, продолжают развиваться, сохранение бдительности и инициативности в реализации надежных мер безопасности становится более важным, чем когда-либо.