Ransomvérový útok Agenda (Qilin) vedie ku krádeži poverení prehliadača Google Chrome
Skupina ransomvéru Agenda (Qilin) zaviedla znepokojujúcu novú taktiku: nasadenie vlastného zlodeja na získavanie poverení účtov uložených v prehliadačoch Google Chrome. Tento vývoj pozorovaný tímom Sophos X-Ops počas nedávnych snáh o reakciu na incidenty znamená významnú eskaláciu v oblasti ransomvéru, vďaka čomu je obrana proti týmto útokom ešte náročnejšia.
Obsah
Prehľad útoku: Podrobný rozpis
Výskumníci spoločnosti Sophos analyzovali útok Agenda/Qilin, ktorý začal tým, že skupina získala prístup k sieti prostredníctvom kompromitovaných poverení pre portál VPN, ktorému chýbalo viacfaktorové overenie (MFA). Po porušení nasledovalo 18-dňové obdobie nečinnosti, čo naznačuje, že Qilin si pravdepodobne zakúpil prístup k sieti od sprostredkovateľa počiatočného prístupu (IAB). Počas tejto nečinnosti útočníci pravdepodobne strávili čas mapovaním siete, identifikáciou kritických aktív a vykonávaním prieskumu.
Po tomto období prieskumu sa útočníci bočne presunuli na radič domény, kde upravili objekty skupinovej politiky (GPO) tak, aby spustili skript PowerShell „IPScanner.ps1“ na všetkých počítačoch prihlásených do doménovej siete. Tento skript spúšťaný dávkovým súborom „logon.bat“ bol špeciálne navrhnutý na zhromažďovanie poverení uložených v prehliadači Google Chrome.
Chrome Credential Harvesting: Nová vrstva nebezpečenstva
Dávkový skript spustil skript PowerShell zakaždým, keď sa používateľ prihlásil do svojho počítača, a ukradnuté poverenia sa uložili do zdieľania „SYSVOL“ pod názvami „LD“ alebo „temp.log“. Tieto súbory boli potom odoslané na server velenia a riadenia (C2) Agenda/Qilin, po čom boli miestne kópie a súvisiace protokoly udalostí vymazané, aby zakryli stopy útočníkov. Následne Agenda (Qilin) nasadila svoj ransomvér a šifrovala údaje na napadnutých počítačoch. Na stiahnutie a spustenie ransomvéru na všetkých počítačoch v doméne sa použil samostatný GPO a dávkový súbor „run.bat“.
Prístup Agenda/Qilin k zacieleniu na prihlasovacie údaje prehliadača Chrome je obzvlášť alarmujúci, pretože GPO sa aplikoval na všetky počítače v rámci domény. To znamenalo, že každé zariadenie, do ktorého sa používateľ prihlásil, podliehalo procesu získavania poverení. Skript potenciálne ukradol poverenia zo všetkých počítačov v celej spoločnosti, pokiaľ boli pripojené k doméne a mali aktívne prihlásenia používateľov počas obdobia, keď bol skript funkčný.
Dôsledky a stratégie zmierňovania
Rozsiahla krádež poverení uľahčená touto metódou by mohla viesť k následným útokom, rozsiahlym narušeniam na viacerých platformách a službách a výrazne skomplikovať úsilie o reakciu. Okrem toho predstavuje pretrvávajúcu hrozbu, ktorá môže pretrvávať aj po vyriešení počiatočného incidentu ransomvéru.
Na zmiernenie tohto rizika by organizácie mali presadzovať prísne zásady proti ukladaniu poverení vo webových prehliadačoch. Implementácia viacfaktorovej autentifikácie je tiež kľúčová pri ochrane účtov pred únosom, a to aj v prípade kompromitácie poverení. Okrem toho, uplatňovanie princípov najmenších privilégií a segmentácie siete môže výrazne brániť v schopnosti aktéra hrozby pohybovať sa laterálne v kompromitovanom prostredí.
Vzhľadom na prepojenie Qilin so skupinou sociálneho inžinierstva Scattered Spider a ich multiplatformové schopnosti predstavuje tento taktický posun pre organizácie značné riziko. Skupiny ransomvéru, ako je Qilin, sa neustále vyvíjajú, a preto je dôležitejšie ako kedykoľvek predtým zostať ostražitý a proaktívny pri implementácii robustných bezpečnostných opatrení.