Атака програми-вимагача Agenda (Qilin) призводить до крадіжки облікових даних Google Chrome
Група програм-вимагачів Agenda (Qilin) запровадила тривожну нову тактику: розгортання спеціального викрадача для збирання облікових даних облікового запису, що зберігаються в браузерах Google Chrome. Ця подія, яку спостерігала команда Sophos X-Ops під час нещодавніх заходів з реагування на інциденти, знаменує значну ескалацію в ландшафті програм-вимагачів, що робить ці атаки ще складнішими для захисту.
Зміст
Огляд атаки: детальна розбивка
Дослідники Sophos проаналізували атаку Agenda/Qilin, яка почалася з того, що група отримала доступ до мережі через скомпрометовані облікові дані для порталу VPN, який не мав багатофакторної автентифікації (MFA). За порушенням послідував 18-денний період бездіяльності, що свідчить про те, що Qilin міг придбати доступ до мережі у брокера початкового доступу (IAB). Ймовірно, під час цього бездіяльності зловмисники витратили час на відображення мережі, виявлення критичних активів і проведення розвідки.
Після цього періоду розвідки зловмисники перемістилися збоку на контролер домену, де вони змінили об’єкти групової політики (GPO) для виконання сценарію PowerShell «IPScanner.ps1» на всіх машинах, увійшли в мережу домену. Цей сценарій, який виконується пакетним файлом "logon.bat", був спеціально розроблений для збору облікових даних, які зберігаються в Google Chrome.
Збирання облікових даних Chrome: новий рівень небезпеки
Пакетний сценарій запускав сценарій PowerShell кожного разу, коли користувач входив у свій комп’ютер, а викрадені облікові дані зберігалися в спільному ресурсі «SYSVOL» під іменами «LD» або «temp.log». Потім ці файли були надіслані на сервер керування (C2) Agenda/Qilin, після чого локальні копії та відповідні журнали подій були стерті, щоб замести сліди зловмисників. Згодом Agenda (Qilin) розгорнула програмне забезпечення-вимагач, зашифрувавши дані на скомпрометованих машинах. Окремий GPO та пакетний файл «run.bat» використовувалися для завантаження та запуску програми-вимагача на всіх машинах у домені.
Підхід Agenda/Qilin до націлювання на облікові дані Chrome викликає особливу тривогу, оскільки GPO застосовувався до всіх машин у домені. Це означало, що кожен пристрій, на якому користувач увійшов, проходив процес збору облікових даних. Сценарій потенційно викрав облікові дані з усіх машин у компанії, якщо вони були підключені до домену та мали активні входи користувачів протягом періоду роботи сценарію.
Наслідки та стратегії пом'якшення
Масштабне викрадення облікових даних, спричинене цим методом, може призвести до наступних атак, широко поширених порушень на багатьох платформах і службах і значно ускладнити заходи реагування. Крім того, він представляє постійну загрозу, яка може залишатися навіть після того, як початковий інцидент з програмою-вимагачем вирішено.
Щоб зменшити цей ризик, організації повинні застосовувати суворі правила щодо збереження облікових даних у веб-переглядачах. Реалізація багатофакторної автентифікації також має вирішальне значення для захисту облікових записів від викрадення, навіть у разі компрометації облікових даних. Крім того, застосування принципів найменших привілеїв і сегментування мережі може суттєво перешкодити здатності суб’єкта загрози переміщатися вбік у скомпрометованому середовищі.
Враховуючи зв’язки Qilin з групою соціальної інженерії Scattered Spider та їх багатоплатформні можливості, ця тактична зміна становить значний ризик для організацій. Оскільки групи програм-вимагачів, такі як Qilin, продовжують розвиватися, пильність і активність у впровадженні надійних заходів безпеки є ще важливішою, ніж будь-коли.