Napad izsiljevalske programske opreme Agenda (Qilin) vodi do kraje poverilnic za Google Chrome
Skupina izsiljevalske programske opreme Agenda (Qilin) je uvedla skrb vzbujajočo novo taktiko: uvedba kraje po meri za pridobivanje poverilnic računa, shranjenih v brskalnikih Google Chrome. Ta razvoj, ki ga je opazila ekipa Sophos X-Ops med nedavnimi prizadevanji za odzivanje na incidente, označuje znatno stopnjevanje v krajini izsiljevalske programske opreme, zaradi česar je obramba pred temi napadi še težja.
Kazalo
Pregled napada: podrobna razčlenitev
Sophosovi raziskovalci so analizirali napad Agenda/Qilin, ki se je začel s tem, da je skupina pridobila dostop do omrežja prek ogroženih poverilnic za portal VPN, ki ni imel večfaktorske avtentikacije (MFA). Kršitvi je sledilo 18-dnevno obdobje nedejavnosti, kar nakazuje, da je Qilin morda kupil dostop do omrežja od posrednika za začetni dostop (IAB). Med tem mirovanjem so napadalci verjetno porabili čas za preslikavo omrežja, prepoznavanje kritičnih sredstev in izvidovanje.
Po tem obdobju izvidovanja so se napadalci stransko premaknili na krmilnik domene, kjer so spremenili objekte pravilnika skupine (GPO) za izvajanje skripta PowerShell, 'IPScanner.ps1,' na vseh napravah, prijavljenih v omrežje domene. Ta skript, ki ga izvaja paketna datoteka 'logon.bat', je bil zasnovan posebej za zbiranje poverilnic, shranjenih v brskalniku Google Chrome.
Zbiranje poverilnic za Chrome: Nova plast nevarnosti
Paketni skript je sprožil skript PowerShell vsakič, ko se je uporabnik prijavil v svoj računalnik, ukradene poverilnice pa so bile shranjene v skupni rabi »SYSVOL« pod imeni »LD« ali »temp.log«. Te datoteke so bile nato poslane na strežnik za ukaze in nadzor (C2) družbe Agenda/Qilin, nato pa so bile lokalne kopije in povezani dnevniki dogodkov izbrisani, da se zakrijejo sledi napadalcev. Kasneje je Agenda (Qilin) razmestila svoj tovor izsiljevalske programske opreme in šifrirala podatke v ogroženih strojih. Za prenos in zagon izsiljevalske programske opreme na vseh računalnikih v domeni sta bila uporabljena ločen GPO in paketna datoteka 'run.bat'.
Pristop Agende/Qilina k ciljanju na poverilnice za Chrome je še posebej zaskrbljujoč, ker je GPO veljal za vse stroje v domeni. To je pomenilo, da je bila vsaka naprava, v katero se je uporabnik prijavil, predmet postopka zbiranja poverilnic. Skript je potencialno ukradel poverilnice iz vseh strojev v podjetju, če so bili povezani z domeno in so imeli aktivne uporabniške prijave v obdobju, ko je skript deloval.
Posledice in strategije ublažitve
Obsežna kraja poverilnic, omogočena s to metodo, bi lahko povzročila nadaljnje napade, obsežne kršitve v več platformah in storitvah ter znatno zapletla prizadevanja za odzivanje. Poleg tega uvaja stalno grožnjo, ki se lahko zadrži tudi po razrešitvi začetnega incidenta z izsiljevalsko programsko opremo.
Da bi zmanjšale to tveganje, bi morale organizacije uveljaviti stroge politike proti shranjevanju poverilnic v spletnih brskalnikih. Izvajanje večfaktorske avtentikacije je ključnega pomena tudi pri zaščiti računov pred ugrabitvijo, tudi v primeru ogroženosti poverilnic. Poleg tega lahko uporaba načel najmanjših privilegijev in segmentiranje omrežja znatno ovirata zmožnost akterja grožnje, da se bočno premika znotraj ogroženega okolja.
Glede na Qilinove povezave s skupino za socialni inženiring Scattered Spider in njihove zmogljivosti na več platformah ta taktični premik predstavlja veliko tveganje za organizacije. Ker se skupine izsiljevalske programske opreme, kot je Qilin, še naprej razvijajo, je bolj kot kdaj koli prej kritično ostati pozoren in proaktiven pri izvajanju robustnih varnostnih ukrepov.