Agenda (Qilin) Ransomware-attack leder till Google Chrome-referensstöld
Agenda (Qilin) ransomware- gruppen har introducerat en oroande ny taktik: att distribuera en anpassad stjälare för att samla in kontouppgifter lagrade i Google Chrome-webbläsare. Denna utveckling, som observerats av Sophos X-Ops-teamet under de senaste insatserna för incidentrespons, markerar en betydande upptrappning i ransomware-landskapet, vilket gör dessa attacker ännu mer utmanande att försvara sig mot.
Innehållsförteckning
Attacköversikt: En detaljerad uppdelning
Sophos-forskare analyserade en Agenda/Qilin-attack som började med att gruppen fick tillgång till ett nätverk via komprometterade referenser för en VPN-portal som saknade multi-factor authentication (MFA). Intrånget följdes av en 18-dagars period av inaktivitet, vilket tyder på att Qilin kan ha köpt åtkomst till nätverket från en initial access broker (IAB). Under denna vila är det troligt att angriparna tillbringade tid med att kartlägga nätverket, identifiera kritiska tillgångar och genomföra spaning.
Efter denna spaningsperiod flyttade angriparna i sidled till en domänkontrollant, där de modifierade gruppolicyobjekt (GPO) för att exekvera ett PowerShell-skript, 'IPScanner.ps1', över alla maskiner som var inloggade på domännätverket. Det här skriptet, som körs av en batchfil, 'logon.bat', var speciellt utformat för att samla in autentiseringsuppgifter lagrade i Google Chrome.
Chrome Credential Harvesting: A New Layer of Danger
Batchskriptet utlöste PowerShell-skriptet varje gång en användare loggade in på sin dator, och de stulna autentiseringsuppgifterna sparades på 'SYSVOL'-resursen under namnen 'LD' eller 'temp.log'. Dessa filer skickades sedan till Agenda/Qilins kommando- och kontrollserver (C2), varefter lokala kopior och relaterade händelseloggar raderades för att täcka angriparnas spår. Därefter distribuerade Agenda (Qilin) sin ransomware-nyttolast, och krypterade data över de komprometterade maskinerna. En separat GPO och batchfil, 'run.bat', användes för att ladda ner och köra ransomware på alla maskiner i domänen.
Agenda/Qilins tillvägagångssätt för att inrikta sig på Chrome-uppgifter är särskilt alarmerande eftersom GPO tillämpas på alla maskiner inom domänen. Detta innebar att varje enhet som en användare loggade in på var föremål för processen för insamling av autentiseringsuppgifter. Skriptet stal potentiellt autentiseringsuppgifter från alla maskiner i företaget, så länge de var anslutna till domänen och hade aktiva användarinloggningar under den period som skriptet var i drift.
Implikationer och begränsningsstrategier
Den omfattande identitetsstölden som underlättas av denna metod kan leda till uppföljande attacker, omfattande intrång på flera plattformar och tjänster och avsevärt komplicera svarsinsatser. Dessutom introducerar det ett ihållande hot som kan dröja kvar även efter att den första ransomware-incidenten är löst.
För att minska denna risk bör organisationer tillämpa strikta policyer mot lagring av referenser i webbläsare. Implementering av multifaktorautentisering är också avgörande för att skydda konton från kapning, även i händelse av kompromisser med autentiseringsuppgifter. Dessutom kan tillämpningen av principerna om minsta privilegium och segmentering av nätverket avsevärt hindra en hotaktörs förmåga att röra sig i sidled inom en utsatt miljö.
Med tanke på Qilins kopplingar till Scattered Spider-gruppen för social ingenjörskonst och deras multiplattformskapacitet, utgör denna taktiska förändring en betydande risk för organisationer. Eftersom ransomware-grupper som Qilin fortsätter att utvecklas är det viktigare än någonsin att vara vaksam och proaktiv med att implementera robusta säkerhetsåtgärder.