Агенда (Килин) Рансомваре напад доводи до крађе акредитива за Гоогле Цхроме
Група рансомваре-а Агенда (Килин) увела је нову тактику: увођење прилагођеног крадљиваца за прикупљање акредитива налога који се чува у Гоогле Цхроме претраживачима. Овај развој догађаја, који је тим Сопхос Кс-Опс приметио током недавних напора за реаговање на инциденте, означава значајну ескалацију у окружењу рансомвера, чинећи ове нападе још изазовнијим за одбрану.
Преглед садржаја
Преглед напада: детаљан преглед
Сопхос истраживачи су анализирали Агенда/Килин напад који је почео тако што је група добила приступ мрежи путем компромитованих акредитива за ВПН портал који није имао вишефакторску аутентификацију (МФА). Након кршења уследио је период неактивности од 18 дана, што сугерише да је Килин можда купио приступ мрежи од брокера за почетни приступ (ИАБ). Током овог мировања, вероватно је да су нападачи потрошили време на мапирање мреже, идентификовање критичне имовине и извиђање.
Након овог периода извиђања, нападачи су се бочно преселили на контролер домена, где су модификовали објекте групне политике (ГПО) да би извршили ПоверСхелл скрипту, „ИПСцаннер.пс1“, на свим машинама пријављеним на мрежу домена. Ова скрипта, коју је извршила групна датотека, 'логон.бат', посебно је дизајнирана за прикупљање акредитива ускладиштених у Гоогле Цхроме-у.
Цхроме прикупљање акредитива: нови ниво опасности
Групна скрипта је покретала ПоверСхелл скрипту сваки пут када се корисник пријавио на своју машину, а украдени акредитиви су сачувани на 'СИСВОЛ' дељеном делу под именима 'ЛД' или 'темп.лог'. Ове датотеке су затим послате на Агенда/Килинов командни и контролни (Ц2) сервер, након чега су обрисане локалне копије и повезани дневники догађаја како би се покрили трагови нападача. Након тога, Агенда (Килин) је применио свој терет рансомваре-а, шифрујући податке на компромитованим машинама. За преузимање и извршавање рансомваре-а на свим машинама у домену коришћени су засебни ГПО и батцх фајл, 'рун.бат'.
Агенда/Килинов приступ циљању Цхроме акредитива је посебно алармантан јер се ГПО примењује на све машине унутар домена. То је значило да је сваки уређај на који се корисник пријавио подлегао процесу прикупљања акредитива. Скрипта је потенцијално украла акредитиве са свих машина широм компаније, све док су биле повезане са доменом и имале активне корисничке пријаве током периода док је скрипта била оперативна.
Импликације и стратегије ублажавања
Опсежна крађа акредитива која је омогућена овом методом могла би да доведе до накнадних напада, широко распрострањених кршења на више платформи и услуга и значајно закомпликује напоре за реаговање. Штавише, он уводи сталну претњу која може да се задржи чак и након што се почетни инцидент са рансомвером реши.
Да би ублажиле овај ризик, организације би требало да примењују строге смернице против чувања акредитива у веб прегледачима. Имплементација вишефакторске аутентификације је такође кључна за заштиту налога од отмице, чак и у случају компромитовања акредитива. Штавише, примена принципа најмање привилегија и сегментирање мреже може значајно да омета способност актера претње да се креће бочно унутар угроженог окружења.
С обзиром на Килинове везе са групом социјалног инжењеринга Распршени паук и њихове мултиплатформске могућности, ова тактичка промена представља значајан ризик за организације. Како групе рансомваре-а као што је Килин настављају да се развијају, остати опрезан и проактиван у примени робусних безбедносних мера је критичнији него икад.