ఎజెండా (క్విలిన్) Ransomware దాడి Google Chrome క్రెడెన్షియల్ థెఫ్ట్‌కు దారి తీస్తుంది

Agenda (Qilin) ransomware సమూహం కొత్త వ్యూహాన్ని పరిచయం చేసింది: Google Chrome బ్రౌజర్‌లలో నిల్వ చేయబడిన ఖాతా ఆధారాలను సేకరించేందుకు కస్టమ్ స్టీలర్‌ను అమలు చేయడం. ఇటీవలి సంఘటన ప్రతిస్పందన ప్రయత్నాల సమయంలో Sophos X-Ops బృందం గమనించిన ఈ అభివృద్ధి, ransomware ల్యాండ్‌స్కేప్‌లో గణనీయమైన పెరుగుదలను సూచిస్తుంది, ఈ దాడుల నుండి రక్షించడానికి మరింత సవాలుగా మారింది.

దాడి అవలోకనం: ఒక వివరణాత్మక విభజన

బహుళ-కారకాల ప్రమాణీకరణ (MFA) లేని VPN పోర్టల్ కోసం రాజీపడిన ఆధారాల ద్వారా సమూహం నెట్‌వర్క్‌కు ప్రాప్యతను పొందడంతో ప్రారంభమైన ఎజెండా/క్విలిన్ దాడిని సోఫోస్ పరిశోధకులు విశ్లేషించారు. ఉల్లంఘన తర్వాత 18-రోజుల నిష్క్రియాత్మక వ్యవధి జరిగింది, ఇది క్విలిన్ ప్రారంభ యాక్సెస్ బ్రోకర్ (IAB) నుండి నెట్‌వర్క్‌కు యాక్సెస్‌ను కొనుగోలు చేసి ఉండవచ్చని సూచిస్తుంది. ఈ నిద్రాణమైన సమయంలో, దాడి చేసేవారు నెట్‌వర్క్‌ను మ్యాపింగ్ చేయడానికి, క్లిష్టమైన ఆస్తులను గుర్తించడానికి మరియు నిఘా నిర్వహించడానికి సమయాన్ని వెచ్చిస్తారు.

ఈ నిఘా కాలం తర్వాత, దాడి చేసేవారు డొమైన్ కంట్రోలర్‌కి పార్శ్వంగా మారారు, అక్కడ వారు డొమైన్ నెట్‌వర్క్‌లోకి లాగిన్ చేసిన అన్ని మెషీన్‌లలో పవర్‌షెల్ స్క్రిప్ట్, 'IPScanner.ps1'ని అమలు చేయడానికి గ్రూప్ పాలసీ ఆబ్జెక్ట్‌లను (GPOలు) సవరించారు. 'logon.bat' అనే బ్యాచ్ ఫైల్ ద్వారా అమలు చేయబడిన ఈ స్క్రిప్ట్ ప్రత్యేకంగా Google Chromeలో నిల్వ చేయబడిన ఆధారాలను సేకరించేందుకు రూపొందించబడింది.

క్రోమ్ క్రెడెన్షియల్ హార్వెస్టింగ్: ఎ న్యూ లేయర్ ఆఫ్ డేంజర్

వినియోగదారు వారి మెషీన్‌లోకి లాగిన్ చేసిన ప్రతిసారీ బ్యాచ్ స్క్రిప్ట్ పవర్‌షెల్ స్క్రిప్ట్‌ను ట్రిగ్గర్ చేస్తుంది మరియు దొంగిలించబడిన ఆధారాలు 'LD' లేదా 'temp.log' పేర్లతో 'SYSVOL' షేర్‌లో సేవ్ చేయబడతాయి. ఈ ఫైల్‌లు అజెండా/క్విలిన్ కమాండ్ అండ్ కంట్రోల్ (C2) సర్వర్‌కి పంపబడ్డాయి, ఆ తర్వాత దాడి చేసేవారి ట్రాక్‌లను కవర్ చేయడానికి స్థానిక కాపీలు మరియు సంబంధిత ఈవెంట్ లాగ్‌లు తుడిచివేయబడతాయి. తదనంతరం, అజెండా (క్విలిన్) వారి ransomware పేలోడ్‌ను అమలు చేసింది, రాజీపడిన మెషీన్‌లలో డేటాను గుప్తీకరించింది. డొమైన్‌లోని అన్ని మెషీన్‌లలో ransomwareని డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి ప్రత్యేక GPO మరియు బ్యాచ్ ఫైల్, 'run.bat' ఉపయోగించబడింది.

డొమైన్‌లోని అన్ని మెషీన్‌లకు GPO వర్తింపజేయడం వల్ల Chrome ఆధారాలను లక్ష్యంగా చేసుకోవడంలో ఎజెండా/క్విలిన్ విధానం ముఖ్యంగా ఆందోళనకరంగా ఉంది. వినియోగదారు లాగిన్ చేసిన ప్రతి పరికరం క్రెడెన్షియల్-హార్వెస్టింగ్ ప్రక్రియకు లోబడి ఉంటుందని దీని అర్థం. డొమైన్‌కు కనెక్ట్ చేయబడినంత వరకు మరియు స్క్రిప్ట్ పనిచేస్తున్న కాలంలో సక్రియ వినియోగదారు లాగిన్‌లను కలిగి ఉన్నంత వరకు, స్క్రిప్ట్ కంపెనీ అంతటా ఉన్న అన్ని మెషీన్‌ల నుండి ఆధారాలను దొంగిలించవచ్చు.

చిక్కులు మరియు ఉపశమన వ్యూహాలు

ఈ పద్ధతి ద్వారా సులభతరం చేయబడిన విస్తృతమైన క్రెడెన్షియల్ దొంగతనం తదుపరి దాడులకు దారితీయవచ్చు, బహుళ ప్లాట్‌ఫారమ్‌లు మరియు సేవలలో విస్తృతమైన ఉల్లంఘనలు మరియు ప్రతిస్పందన ప్రయత్నాలను గణనీయంగా క్లిష్టతరం చేస్తుంది. అంతేకాకుండా, ఇది ప్రారంభ ransomware సంఘటన పరిష్కరించబడిన తర్వాత కూడా కొనసాగే నిరంతర ముప్పును పరిచయం చేస్తుంది.

ఈ ప్రమాదాన్ని తగ్గించడానికి, సంస్థలు వెబ్ బ్రౌజర్‌లలో ఆధారాలను నిల్వ చేయడానికి వ్యతిరేకంగా కఠినమైన విధానాలను అమలు చేయాలి. క్రెడెన్షియల్ రాజీలు జరిగినప్పుడు కూడా ఖాతాలను హైజాకింగ్ నుండి రక్షించడంలో బహుళ-కారకాల ప్రమాణీకరణను అమలు చేయడం కూడా కీలకం. ఇంకా, కనీసం ప్రత్యేక హక్కు సూత్రాలను వర్తింపజేయడం మరియు నెట్‌వర్క్‌ను విభజించడం వలన రాజీ వాతావరణంలో పార్శ్వంగా కదిలే ముప్పు నటుడి సామర్థ్యాన్ని గణనీయంగా అడ్డుకోవచ్చు.

స్కాటర్డ్ స్పైడర్ సోషల్ ఇంజినీరింగ్ గ్రూప్‌కు క్విలిన్ లింక్‌లు మరియు వారి బహుళ-ప్లాట్‌ఫారమ్ సామర్థ్యాల దృష్ట్యా, ఈ వ్యూహాత్మక మార్పు సంస్థలకు గణనీయమైన ప్రమాదాన్ని సూచిస్తుంది. Qilin వంటి ransomware సమూహాలు అభివృద్ధి చెందుతూనే ఉన్నందున, పటిష్టమైన భద్రతా చర్యలను అమలు చేయడంలో అప్రమత్తంగా మరియు క్రియాశీలంగా ఉండటం గతంలో కంటే చాలా క్లిష్టమైనది.