Agenda (Qilin) Fidye Yazılımı Saldırısı Google Chrome Kimlik Bilgilerinin Hırsızlığına Yol Açtı
Agenda (Qilin) fidye yazılımı grubu endişe verici yeni bir taktik tanıttı: Google Chrome tarayıcılarında depolanan hesap kimlik bilgilerini toplamak için özel bir hırsız kullanmak. Sophos X-Ops ekibinin son olay müdahale çabaları sırasında gözlemlediği bu gelişme, fidye yazılımı alanında önemli bir tırmanışa işaret ediyor ve bu saldırılara karşı savunmayı daha da zorlaştırıyor.
İçindekiler
Saldırı Genel Bakışı: Ayrıntılı Bir Ayrıntı
Sophos araştırmacıları, grubun çok faktörlü kimlik doğrulaması (MFA) olmayan bir VPN portalı için tehlikeye atılmış kimlik bilgileri aracılığıyla bir ağa erişim elde etmesiyle başlayan bir Agenda/Qilin saldırısını analiz etti. İhlalin ardından 18 günlük bir hareketsizlik dönemi yaşandı; bu da Qilin'in ağa ilk erişim aracısından (IAB) erişim satın almış olabileceğini gösteriyor. Bu hareketsizlik sırasında, saldırganların ağı haritalamak, kritik varlıkları belirlemek ve keşif yapmak için zaman harcadıkları muhtemel.
Bu keşif döneminden sonra saldırganlar, etki alanı ağına giriş yapmış tüm makinelerde bir PowerShell betiği olan 'IPScanner.ps1'i yürütmek için Grup İlkesi Nesnelerini (GPO'lar) değiştirdikleri bir etki alanı denetleyicisine yanlamasına geçtiler. Bir toplu iş dosyası olan 'logon.bat' tarafından yürütülen bu betik, özellikle Google Chrome'da depolanan kimlik bilgilerini toplamak için tasarlanmıştı.
Chrome Kimlik Bilgisi Toplama: Yeni Bir Tehlike Katmanı
Toplu komut dosyası, bir kullanıcı makinesine her giriş yaptığında PowerShell komut dosyasını tetikledi ve çalınan kimlik bilgileri 'LD' veya 'temp.log' adları altında 'SYSVOL' paylaşımına kaydedildi. Bu dosyalar daha sonra Agenda/Qilin'in komuta ve kontrol (C2) sunucusuna gönderildi, ardından saldırganların izlerini örtmek için yerel kopyalar ve ilgili olay günlükleri silindi. Daha sonra Agenda (Qilin), verileri tehlikeye atılan makinelerde şifreleyerek fidye yazılımı yükünü dağıttı. Etki alanındaki tüm makinelerde fidye yazılımını indirmek ve yürütmek için ayrı bir GPO ve toplu dosya olan 'run.bat' kullanıldı.
Agenda/Qilin'in Chrome kimlik bilgilerini hedefleme yaklaşımı özellikle endişe vericidir çünkü GPO etki alanındaki tüm makinelere uygulanmıştır. Bu, bir kullanıcının oturum açtığı her cihazın kimlik bilgisi toplama sürecine tabi olduğu anlamına geliyordu. Komut dosyası, komut dosyası çalışır durumdayken etki alanına bağlı oldukları ve etkin kullanıcı oturum açma bilgilerine sahip oldukları sürece şirket genelindeki tüm makinelerden kimlik bilgilerini çalabilirdi.
Sonuçlar ve Azaltma Stratejileri
Bu yöntemle kolaylaştırılan kapsamlı kimlik bilgisi hırsızlığı, takip eden saldırılara, birden fazla platform ve hizmette yaygın ihlallere yol açabilir ve yanıt çabalarını önemli ölçüde karmaşıklaştırabilir. Dahası, ilk fidye yazılımı olayı çözüldükten sonra bile devam edebilecek kalıcı bir tehdit oluşturur.
Bu riski azaltmak için, kuruluşlar kimlik bilgilerinin web tarayıcılarında depolanmasına karşı katı politikalar uygulamalıdır. Çok faktörlü kimlik doğrulamanın uygulanması, kimlik bilgilerinin ele geçirilmesi durumunda bile hesapların ele geçirilmesini önlemek için de önemlidir. Ayrıca, en az ayrıcalık ilkelerinin uygulanması ve ağın segmentlere ayrılması, bir tehdit aktörünün tehlikeye atılmış bir ortamda yanlara doğru hareket etme yeteneğini önemli ölçüde engelleyebilir.
Qilin'in Scattered Spider sosyal mühendislik grubuyla bağlantıları ve çoklu platform yetenekleri göz önüne alındığında, bu taktiksel değişim kuruluşlar için önemli bir risk teşkil ediyor. Qilin gibi fidye yazılımı grupları gelişmeye devam ettikçe, sağlam güvenlik önlemlerini uygulamada dikkatli ve proaktif kalmak her zamankinden daha kritik hale geliyor.