Agenda（Qilin）勒索軟體攻擊導致 Google Chrome 憑證被盜

Agenda（Qilin）勒索軟體組織引入了一個令人擔憂的新策略：部署自訂竊取程式來取得 Google Chrome 瀏覽器中儲存的帳戶憑證。 Sophos X-Ops 團隊在最近的事件回應工作中觀察到這一發展，標誌著勒索軟體領域的顯著升級，使這些攻擊變得更加難以防禦。

攻擊概述：詳細分析

Sophos 研究人員分析了 Agenda/Qilin 攻擊，該攻擊首先是該組織透過缺乏多重身份驗證 (MFA) 的 VPN 入口網站的受損憑證獲得網路存取權限。違規後有 18 天的不活動期，這表明 Qilin 可能從初始訪問經紀人 (IAB) 處購買了網路存取權限。在休眠期間，攻擊者可能會花時間繪製網路圖、識別關鍵資產並進行偵察。

在此偵察期之後，攻擊者橫向移動到網域控制器，在那裡他們修改群組原則物件 (GPO)，以在登入網域網路的所有電腦上執行 PowerShell 腳本「IPScanner.ps1」。該腳本由批次檔「logon.bat」執行，專門用於收集 Google Chrome 中儲存的憑證。

Chrome 憑證收集：新的危險層

每次使用者登入其電腦時，批次腳本都會觸發 PowerShell 腳本，並且被盜的憑證以「LD」或「temp.log」名稱儲存在「SYSVOL」共用中。然後，這些檔案被傳送到 Agenda/Qilin 的命令和控制 (C2) 伺服器，然後擦除本機副本和相關事件日誌以掩蓋攻擊者的蹤跡。隨後，Agenda（Qilin）部署了勒索軟體負載，對受感染機器上的資料進行加密。使用單獨的 GPO 和批次檔「run.bat」在網域中的所有電腦上下載並執行勒索軟體。

Agenda/Qilin 針對 Chrome 憑證的方法尤其令人擔憂，因為 GPO 應用於網域內的所有電腦。這意味著使用者登入的每個裝置都會受到憑證收集過程的影響。該腳本可能會竊取公司內所有電腦的憑證，只要這些電腦連接到網域並且在腳本運行期間具有活動使用者登入。

影響和緩解策略

這種方法引發的大規模憑證盜竊可能會導致後續攻擊、跨多個平台和服務的廣泛破壞，並使回應工作變得更加複雜。此外，它還帶來了持續的威脅，即使在最初的勒索軟體事件解決後，這種威脅也可能持續存在。

為了減輕這種風險，組織應該執行嚴格的策略，禁止在 Web 瀏覽器中儲存憑證。即使在憑證外洩的情況下，實施多因素身分驗證對於保護帳號免遭劫持也至關重要。此外，應用最小特權原則和分段網路可以顯著阻礙威脅行為者在受感染環境中橫向移動的能力。

鑑於 Qilin 與分散蜘蛛社會工程小組的聯繫及其多平台能力，這種戰術轉變對組織構成了巨大的風險。隨著像 Qilin 這樣的勒索軟體組織不斷發展，保持警惕並主動實施強大的安全措施比以往任何時候都更加重要。