நிகழ்ச்சி நிரல் (கிலின்) Ransomware தாக்குதல் Google Chrome நற்சான்றிதழ் திருட்டுக்கு வழிவகுக்கிறது
Agenda (Qilin) ransomware குழுவானது ஒரு புதிய யுக்தியை அறிமுகப்படுத்தியுள்ளது: Google Chrome உலாவிகளில் சேமிக்கப்பட்ட கணக்குச் சான்றுகளை அறுவடை செய்ய தனிப்பயன் திருடனைப் பயன்படுத்துதல். சமீபத்திய சம்பவ மறுமொழி முயற்சிகளின் போது சோஃபோஸ் எக்ஸ்-ஆப்ஸ் குழுவால் கவனிக்கப்பட்ட இந்த வளர்ச்சி, ransomware நிலப்பரப்பில் குறிப்பிடத்தக்க அதிகரிப்பைக் குறிக்கிறது, இந்த தாக்குதல்களுக்கு எதிராக தற்காத்துக்கொள்வது இன்னும் சவாலானது.
பொருளடக்கம்
தாக்குதல் கண்ணோட்டம்: ஒரு விரிவான முறிவு
பல காரணி அங்கீகாரம் (MFA) இல்லாத VPN போர்ட்டலுக்கான சமரசம் செய்யப்பட்ட நற்சான்றிதழ்கள் மூலம் குழு நெட்வொர்க்கிற்கான அணுகலைப் பெறுவதில் தொடங்கிய நிகழ்ச்சி நிரல்/கிலின் தாக்குதலை Sophos ஆராய்ச்சியாளர்கள் ஆய்வு செய்தனர். இந்த மீறலைத் தொடர்ந்து 18 நாள் செயலற்ற நிலை ஏற்பட்டது, இது கிலின் ஒரு ஆரம்ப அணுகல் தரகரிடம் (IAB) நெட்வொர்க்கிற்கான அணுகலை வாங்கியிருக்கலாம் எனக் கூறுகிறது. இந்த செயலற்ற நிலையில், தாக்குபவர்கள் நெட்வொர்க்கை மேப்பிங் செய்யவும், முக்கியமான சொத்துக்களை அடையாளம் காணவும், உளவு பார்க்கவும் நேரத்தை செலவிட்டிருக்கலாம்.
இந்த உளவு காலத்திற்குப் பிறகு, தாக்குபவர்கள் ஒரு டொமைன் கன்ட்ரோலருக்கு பக்கவாட்டாக நகர்ந்தனர், அங்கு அவர்கள் பவர்ஷெல் ஸ்கிரிப்ட், 'IPScanner.ps1,' ஐ இயக்க, டொமைன் நெட்வொர்க்கில் உள்நுழைந்துள்ள அனைத்து இயந்திரங்களிலும் குழு கொள்கை பொருள்களை (ஜிபிஓக்கள்) மாற்றினர். இந்த ஸ்கிரிப்ட், 'logon.bat' என்ற தொகுதிக் கோப்பால் செயல்படுத்தப்பட்டது, குறிப்பாக Google Chrome இல் சேமிக்கப்பட்ட நற்சான்றிதழ்களைச் சேகரிக்க வடிவமைக்கப்பட்டுள்ளது.
குரோம் நற்சான்றிதழ் அறுவடை: ஆபத்தின் புதிய அடுக்கு
ஒவ்வொரு முறையும் ஒரு பயனர் தங்கள் கணினியில் உள்நுழையும் போது தொகுதி ஸ்கிரிப்ட் பவர்ஷெல் ஸ்கிரிப்டைத் தூண்டுகிறது, மேலும் திருடப்பட்ட நற்சான்றிதழ்கள் 'LD' அல்லது 'temp.log' என்ற பெயரில் 'SYSVOL' பங்கில் சேமிக்கப்பட்டன. இந்தக் கோப்புகள் பின்னர் நிகழ்ச்சி நிரல்/கிலின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு அனுப்பப்பட்டன, அதன் பிறகு உள்ளூர் பிரதிகள் மற்றும் தொடர்புடைய நிகழ்வு பதிவுகள் தாக்குபவர்களின் தடங்களை மறைக்க துடைக்கப்பட்டது. பின்னர், அஜெண்டா (கிலின்) அவர்களின் ransomware பேலோடை பயன்படுத்தியது, சமரசம் செய்யப்பட்ட இயந்திரங்கள் முழுவதும் தரவை குறியாக்கம் செய்தது. ஒரு தனி GPO மற்றும் தொகுதி கோப்பு, 'run.bat,' டொமைனில் உள்ள அனைத்து கணினிகளிலும் ransomware ஐ பதிவிறக்கம் செய்து செயல்படுத்த பயன்படுத்தப்பட்டது.
குரோம் நற்சான்றிதழ்களை குறிவைப்பதற்கான நிகழ்ச்சி நிரல்/கிலின் அணுகுமுறை குறிப்பாக ஆபத்தானது, ஏனெனில் டொமைனில் உள்ள அனைத்து இயந்திரங்களுக்கும் GPO பயன்படுத்தப்பட்டது. இதன் பொருள் பயனர் உள்நுழைந்த ஒவ்வொரு சாதனமும் நற்சான்றிதழ் அறுவடை செயல்முறைக்கு உட்பட்டது. ஸ்கிரிப்ட் செயல்படும் காலக்கட்டத்தில், டொமைனுடன் இணைக்கப்பட்டு, செயலில் உள்ள பயனர் உள்நுழைவுகளைக் கொண்டிருக்கும் வரை, நிறுவனம் முழுவதும் உள்ள அனைத்து இயந்திரங்களிலிருந்தும் நற்சான்றிதழ்களைத் திருடலாம்.
தாக்கங்கள் மற்றும் தணிப்பு உத்திகள்
இந்த முறையால் எளிதாக்கப்பட்ட விரிவான நற்சான்றிதழ் திருட்டு, பின்தொடர்தல் தாக்குதல்களுக்கு வழிவகுக்கும், பல தளங்கள் மற்றும் சேவைகளில் பரவலான மீறல்கள் மற்றும் பதில் முயற்சிகளை கணிசமாக சிக்கலாக்கும். மேலும், இது ஒரு தொடர்ச்சியான அச்சுறுத்தலை அறிமுகப்படுத்துகிறது, இது ஆரம்ப ransomware சம்பவம் தீர்க்கப்பட்ட பின்னரும் நீடிக்கும்.
இந்த அபாயத்தைத் தணிக்க, இணைய உலாவிகளில் நற்சான்றிதழ்களைச் சேமிப்பதற்கு எதிராக நிறுவனங்கள் கடுமையான கொள்கைகளைச் செயல்படுத்த வேண்டும். நற்சான்றிதழ் சமரசங்கள் ஏற்பட்டாலும், கடத்தலில் இருந்து கணக்குகளைப் பாதுகாப்பதில் பல காரணி அங்கீகாரத்தை செயல்படுத்துவது மிகவும் முக்கியமானது. மேலும், குறைந்த பட்ச சிறப்புரிமை மற்றும் நெட்வொர்க்கைப் பிரித்தல் ஆகியவற்றின் கொள்கைகளைப் பயன்படுத்துவது, சமரசம் செய்யப்பட்ட சூழலில் பக்கவாட்டாக நகரும் அச்சுறுத்தல் நடிகரின் திறனை கணிசமாகத் தடுக்கலாம்.
சிதறிய ஸ்பைடர் சமூக பொறியியல் குழுவுடனான கிலினின் இணைப்புகள் மற்றும் அவற்றின் பல-தளம் திறன்களைக் கருத்தில் கொண்டு, இந்த தந்திரோபாய மாற்றம் நிறுவனங்களுக்கு கணிசமான ஆபத்தை பிரதிபலிக்கிறது. கிலின் போன்ற ransomware குழுக்கள் தொடர்ந்து உருவாகி வருவதால், முன்னெப்போதையும் விட வலுவான பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துவதில் விழிப்புடனும் செயலூக்கத்துடனும் இருப்பது மிகவும் முக்கியமானது.