Agenda (Qilin) 勒索软件攻击导致 Google Chrome 凭据被盗

Agenda (Qilin) 勒索软件组织引入了一种令人担忧的新策略：部署自定义窃取程序来窃取存储在 Google Chrome 浏览器中的帐户凭据。Sophos X-Ops 团队在最近的事件响应工作中观察到了这一发展，这标志着勒索软件领域的重大升级，使这些攻击更难以防御。

攻击概述：详细分析

Sophos 研究人员分析了一次 Agenda/Qilin 攻击，攻击始于该组织通过一个缺乏多因素身份验证 (MFA) 的 VPN 门户的泄露凭证获取网络访问权限。攻击发生后，该组织有 18 天处于不活跃状态，这表明 Qilin 可能从初始访问代理 (IAB) 购买了网络访问权限。在此期间，攻击者可能会花时间绘制网络地图、识别关键资产并进行侦察。

侦察期过后，攻击者横向移动到域控制器，在那里他们修改了组策略对象 (GPO)，以在登录到域网络的所有计算机上执行 PowerShell 脚本“IPScanner.ps1”。此脚本由批处理文件“logon.bat”执行，专门用于收集存储在 Google Chrome 中的凭据。

Chrome 凭证窃取：新的危险

每次用户登录计算机时，批处理脚本都会触发 PowerShell 脚本，被盗凭据将以“LD”或“temp.log”的名称保存在“SYSVOL”共享中。然后，这些文件被发送到 Agenda/Qilin 的命令和控制 (C2) 服务器，之后本地副本和相关事件日志被清除，以掩盖攻击者的踪迹。随后，Agenda (Qilin) 部署了勒索软件负载，加密了受感染计算机上的数据。使用单独的 GPO 和批处理文件“run.bat”在域中的所有计算机上下载并执行勒索软件。

Agenda/Qilin 针对 Chrome 凭据的方法尤其令人担忧，因为 GPO 适用于域内的所有计算机。这意味着用户登录的每台设备都受到凭据收集过程的影响。该脚本可能会窃取公司所有计算机的凭据，只要它们连接到域并在脚本运行期间有活跃的用户登录即可。

影响和缓解策略

这种方法引发的大规模凭证盗窃可能导致后续攻击，跨多个平台和服务的大规模入侵，并大大增加响应工作的复杂性。此外，它还带来了持续威胁，即使在最初的勒索软件事件得到解决后，这种威胁仍可能持续存在。

为了降低这种风险，组织应实施严格的政策，禁止在 Web 浏览器中存储凭据。实施多因素身份验证对于保护帐户免遭劫持也至关重要，即使在凭据泄露的情况下也是如此。此外，应用最小特权原则和网络分段可以大大阻碍威胁行为者在受感染环境中横向移动的能力。

鉴于 Qilin 与 Scattered Spider 社会工程组织的联系及其多平台能力，这种战术转变对组织而言意味着巨大风险。随着 Qilin 等勒索软件组织不断发展，保持警惕并积极实施强有力的安全措施比以往任何时候都更加重要。