การโจมตีด้วย Ransomware The Agenda (Qilin) นำไปสู่การขโมยข้อมูลประจำตัว Google Chrome

กลุ่ม แรนซัมแวร์ Agenda (Qilin) ได้แนะนำกลยุทธ์ใหม่ที่น่ากังวล: การติดตั้งโปรแกรมขโมยข้อมูลที่กำหนดเองเพื่อขโมยข้อมูลรับรองบัญชีที่จัดเก็บไว้ในเบราว์เซอร์ Google Chrome การพัฒนานี้ ซึ่งสังเกตโดยทีม Sophos X-Ops ระหว่างความพยายามตอบสนองต่อเหตุการณ์ล่าสุด ถือเป็นการยกระดับความรุนแรงของแรนซัมแวร์อย่างมีนัยสำคัญ ทำให้การโจมตีเหล่านี้มีความท้าทายในการป้องกันมากขึ้น

ภาพรวมการโจมตี: การแยกรายละเอียด

นักวิจัยของ Sophos วิเคราะห์การโจมตี Agenda/Qilin ซึ่งเริ่มต้นจากกลุ่มที่เข้าถึงเครือข่ายผ่านข้อมูลประจำตัวที่ถูกบุกรุกสำหรับพอร์ทัล VPN ที่ขาดการพิสูจน์ตัวตนหลายปัจจัย (MFA) การโจมตีดังกล่าวตามมาด้วยการไม่มีกิจกรรมใดๆ เป็นเวลา 18 วัน ซึ่งบ่งชี้ว่า Qilin อาจซื้อสิทธิ์การเข้าถึงเครือข่ายจากโบรกเกอร์การเข้าถึงเริ่มต้น (IAB) ในช่วงที่หยุดชะงักนี้ ผู้โจมตีน่าจะใช้เวลาในการทำแผนที่เครือข่าย ระบุสินทรัพย์ที่สำคัญ และทำการลาดตระเวน

หลังจากช่วงการสอดแนมนี้ ผู้โจมตีได้ย้ายไปยังตัวควบคุมโดเมนโดยตรง โดยปรับเปลี่ยน Group Policy Objects (GPO) เพื่อเรียกใช้สคริปต์ PowerShell 'IPScanner.ps1' บนเครื่องทั้งหมดที่ล็อกอินเข้าสู่เครือข่ายโดเมน สคริปต์นี้ซึ่งเรียกใช้โดยไฟล์แบตช์ 'logon.bat' ได้รับการออกแบบมาโดยเฉพาะเพื่อรวบรวมข้อมูลประจำตัวที่จัดเก็บไว้ใน Google Chrome

การเก็บข้อมูลประจำตัว Chrome: ชั้นอันตรายใหม่

สคริปต์แบตช์จะเรียกใช้สคริปต์ PowerShell ทุกครั้งที่ผู้ใช้ล็อกอินเข้าเครื่อง และข้อมูลรับรองที่ถูกขโมยไปจะถูกบันทึกไว้ในส่วนแชร์ 'SYSVOL' ภายใต้ชื่อ 'LD' หรือ 'temp.log' จากนั้นไฟล์เหล่านี้จะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของ Agenda/Qilin หลังจากนั้นสำเนาในเครื่องและบันทึกเหตุการณ์ที่เกี่ยวข้องจะถูกลบทิ้งเพื่อปกปิดร่องรอยของผู้โจมตี ในเวลาต่อมา Agenda (Qilin) ได้นำเพย์โหลดแรนซัมแวร์มาใช้งาน โดยเข้ารหัสข้อมูลในเครื่องที่ถูกบุกรุก GPO และไฟล์แบตช์แยกต่างหาก 'run.bat' ถูกใช้เพื่อดาวน์โหลดและเรียกใช้แรนซัมแวร์ในเครื่องทั้งหมดในโดเมน

แนวทางของ Agenda/Qilin ในการกำหนดเป้าหมายข้อมูลรับรอง Chrome นั้นน่าตกใจเป็นอย่างยิ่ง เนื่องจาก GPO นำไปใช้กับเครื่องทั้งหมดภายในโดเมน ซึ่งหมายความว่าอุปกรณ์ทุกเครื่องที่ผู้ใช้เข้าสู่ระบบจะต้องผ่านกระบวนการเก็บเกี่ยวข้อมูลรับรอง สคริปต์อาจขโมยข้อมูลรับรองจากเครื่องทั้งหมดทั่วทั้งบริษัท ตราบใดที่เครื่องเหล่านั้นเชื่อมต่อกับโดเมนและมีการเข้าสู่ระบบของผู้ใช้ที่ใช้งานอยู่ตลอดช่วงเวลาที่สคริปต์ทำงานอยู่

ผลกระทบและกลยุทธ์การบรรเทาผลกระทบ

การขโมยข้อมูลประจำตัวจำนวนมากที่อำนวยความสะดวกโดยวิธีนี้อาจนำไปสู่การโจมตีตามมา การละเมิดอย่างแพร่หลายบนแพลตฟอร์มและบริการต่างๆ มากมาย และทำให้ความพยายามในการตอบสนองมีความซับซ้อนมากขึ้น นอกจากนี้ ยังทำให้เกิดภัยคุกคามอย่างต่อเนื่องที่อาจยังคงอยู่แม้หลังจากเหตุการณ์แรนซัมแวร์ครั้งแรกได้รับการแก้ไขแล้ว

เพื่อลดความเสี่ยงนี้ องค์กรต่างๆ ควรบังคับใช้นโยบายที่เข้มงวดในการจัดเก็บข้อมูลรับรองในเว็บเบราว์เซอร์ การใช้การตรวจสอบหลายปัจจัยยังมีความสำคัญในการปกป้องบัญชีจากการแฮ็ก แม้กระทั่งในกรณีที่ข้อมูลรับรองถูกบุกรุก นอกจากนี้ การใช้หลักการสิทธิ์ขั้นต่ำและการแบ่งส่วนเครือข่ายอาจขัดขวางความสามารถของผู้ก่อภัยคุกคามในการเคลื่อนไหวในแนวขวางภายในสภาพแวดล้อมที่ถูกบุกรุกได้อย่างมาก

เมื่อพิจารณาจากความเชื่อมโยงของ Qilin กับกลุ่มวิศวกรรมสังคม Scattered Spider และความสามารถหลายแพลตฟอร์มของพวกเขา การเปลี่ยนแปลงเชิงกลยุทธ์นี้ถือเป็นความเสี่ยงที่สำคัญสำหรับองค์กรต่างๆ ในขณะที่กลุ่มแรนซัมแวร์อย่าง Qilin ยังคงพัฒนาต่อไป การเฝ้าระวังและดำเนินการเชิงรุกในการนำมาตรการรักษาความปลอดภัยที่แข็งแกร่งมาใช้จึงมีความสำคัญมากกว่าที่เคย