Cuộc tấn công Ransomware Agenda (Qilin) dẫn đến việc đánh cắp thông tin đăng nhập Google Chrome
Nhóm ransomware Agenda (Qilin) đã giới thiệu một chiến thuật mới đáng lo ngại: triển khai một kẻ đánh cắp tùy chỉnh để thu thập thông tin đăng nhập tài khoản được lưu trữ trong trình duyệt Google Chrome. Sự phát triển này, được nhóm Sophos X-Ops quan sát thấy trong các nỗ lực ứng phó sự cố gần đây, đánh dấu sự leo thang đáng kể trong bối cảnh ransomware, khiến các cuộc tấn công này thậm chí còn khó phòng thủ hơn.
Mục lục
Tổng quan về cuộc tấn công: Phân tích chi tiết
Các nhà nghiên cứu của Sophos đã phân tích một cuộc tấn công Agenda/Qilin bắt đầu bằng việc nhóm này truy cập vào một mạng thông qua thông tin đăng nhập bị xâm phạm cho một cổng VPN không có xác thực đa yếu tố (MFA). Vụ vi phạm này tiếp theo là một khoảng thời gian không hoạt động kéo dài 18 ngày, điều này cho thấy Qilin có thể đã mua quyền truy cập vào mạng từ một nhà môi giới truy cập ban đầu (IAB). Trong thời gian ngủ đông này, có khả năng những kẻ tấn công đã dành thời gian để lập bản đồ mạng, xác định các tài sản quan trọng và tiến hành trinh sát.
Sau giai đoạn do thám này, những kẻ tấn công di chuyển ngang sang bộ điều khiển miền, nơi chúng sửa đổi Đối tượng Chính sách Nhóm (GPO) để thực thi tập lệnh PowerShell, 'IPScanner.ps1,' trên tất cả các máy đã đăng nhập vào mạng miền. Tập lệnh này, được thực thi bởi tệp hàng loạt, 'logon.bat,' được thiết kế riêng để thu thập thông tin đăng nhập được lưu trữ trong Google Chrome.
Thu thập thông tin xác thực của Chrome: Một lớp nguy hiểm mới
Tập lệnh hàng loạt kích hoạt tập lệnh PowerShell mỗi khi người dùng đăng nhập vào máy của họ và thông tin đăng nhập bị đánh cắp được lưu trên chia sẻ 'SYSVOL' dưới tên 'LD' hoặc 'temp.log.' Các tệp này sau đó được gửi đến máy chủ chỉ huy và kiểm soát (C2) của Agenda/Qilin, sau đó các bản sao cục bộ và nhật ký sự kiện liên quan đã bị xóa để che giấu dấu vết của kẻ tấn công. Sau đó, Agenda (Qilin) triển khai tải trọng ransomware của họ, mã hóa dữ liệu trên các máy bị xâm phạm. Một GPO và tệp hàng loạt riêng biệt, 'run.bat', đã được sử dụng để tải xuống và thực thi ransomware trên tất cả các máy trong miền.
Cách tiếp cận của Agenda/Qilin đối với việc nhắm mục tiêu vào thông tin xác thực Chrome đặc biệt đáng báo động vì GPO áp dụng cho tất cả các máy trong miền. Điều này có nghĩa là mọi thiết bị mà người dùng đăng nhập đều phải tuân theo quy trình thu thập thông tin xác thực. Tập lệnh có khả năng đánh cắp thông tin xác thực từ tất cả các máy trên toàn công ty, miễn là chúng được kết nối với miền và có thông tin đăng nhập của người dùng đang hoạt động trong thời gian tập lệnh hoạt động.
Những tác động và chiến lược giảm thiểu
Việc đánh cắp thông tin xác thực rộng rãi được tạo điều kiện thuận lợi bằng phương pháp này có thể dẫn đến các cuộc tấn công tiếp theo, vi phạm rộng rãi trên nhiều nền tảng và dịch vụ, và làm phức tạp đáng kể các nỗ lực ứng phó. Hơn nữa, nó tạo ra mối đe dọa dai dẳng có thể kéo dài ngay cả sau khi sự cố ransomware ban đầu đã được giải quyết.
Để giảm thiểu rủi ro này, các tổ chức nên thực thi các chính sách nghiêm ngặt về việc lưu trữ thông tin xác thực trong trình duyệt web. Việc triển khai xác thực đa yếu tố cũng rất quan trọng trong việc bảo vệ tài khoản khỏi bị chiếm đoạt, ngay cả trong trường hợp thông tin xác thực bị xâm phạm. Hơn nữa, việc áp dụng các nguyên tắc về đặc quyền tối thiểu và phân đoạn mạng có thể cản trở đáng kể khả năng di chuyển ngang của tác nhân đe dọa trong môi trường bị xâm phạm.
Với mối liên hệ của Qilin với nhóm kỹ thuật xã hội Scattered Spider và khả năng đa nền tảng của họ, sự thay đổi chiến thuật này gây ra rủi ro đáng kể cho các tổ chức. Khi các nhóm ransomware như Qilin tiếp tục phát triển, việc luôn cảnh giác và chủ động trong việc triển khai các biện pháp bảo mật mạnh mẽ trở nên quan trọng hơn bao giờ hết.