Обнаружен новый штамм вируса-вымогателя, который специализируется на краже данных для входа в браузер Chrome

Обнаружен новый штамм вируса-вымогателя под названием Qilin, использующий относительно сложную, легко настраиваемую тактику для кражи данных для входа в учетную запись, хранящихся в браузере Google Chrome.

Международная исследовательская группа по вопросам безопасности Sophos X-Ops наблюдала методы сбора учетных данных во время реагирования на инцидент в Цилине. Это свидетельствует о тревожном изменении тенденций в работе этого опасного штамма вируса-вымогателя.

Обзор процесса атаки

Атака, проанализированная исследователями Sophos, началась с того, что вредоносная программа Qilin успешно получила доступ к целевой сети, используя скомпрометированные учетные данные на шлюзе VPN без многофакторной аутентификации (MFA).

За этим последовал 18-дневный период «спячки» вредоносного ПО, что указывает на то, что хакеры, вероятно, приобрели доступ к сети через брокера первоначального доступа (IAB). Вполне возможно, что Цилинь потратил время на картографирование сети, выявление ключевых активов и проведение разведки.

По истечении первых 18 дней вредоносная программа перемещается на контроллеры домена и изменяет объекты групповой политики (GPO) для выполнения скрипта PowerShell («IPScanner.ps1») на всех компьютерах, подключенных к доменной сети.

Этот скрипт выполняется пакетным скриптом ('logon.bat') и также включен в GPO. Он предназначен для сбора данных для входа, хранящихся в Google Chrome.

Пакетный скрипт настроен на запуск (и запуск скрипта PowerShell) каждый раз, когда пользователь входит в систему на своем компьютере. Параллельно украденные учетные данные будут сохранены в разделе «SYSVOL» под именем «LD» или «temp.log».

После отправки файлов на сервер управления и контроля (C2) компании Qilin локальные копии и соответствующие журналы событий были удалены, чтобы скрыть вредоносную активность. Наконец, Qilin размещает вредоносную программу-вымогатель и зашифрованные данные на взломанных компьютерах.

Другой объект групповой политики и отдельный командный файл («run.bat») также используются для загрузки и запуска программы-вымогателя на всех компьютерах в домене.

Сложность в обороне

Подход Qilin к учетным данным Chrome создает тревожный прецедент, который может затруднить защиту от атак программ-вымогателей.

Поскольку GPO применяется ко всем машинам в домене, каждое устройство, на котором зарегистрирован пользователь, подлежит процессу сбора учетных данных.

Это означает, что скрипт способен красть учетные данные со всех машин в системе, если эти машины подключены к домену и на них во время работы скрипта находится пользователь, вошедший в систему.

Такая масштабная кража учетных данных может позволить хакерам проводить новые атаки, что приведет к инцидентам безопасности, охватывающим несколько платформ и сервисов, что значительно усложнит меры реагирования. Это также создает постоянную угрозу, которая сохраняется еще долгое время после устранения инцидента с программой-вымогателем.

Организации могут снизить риск, внедрив строгую политику, запрещающую хранение секретных данных в веб-браузерах. Кроме того, внедрение многофакторной аутентификации является ключом к защите учетных записей от взлома, даже в случае компрометации учетных данных.

Наконец, реализация принципов наименьших привилегий и сегментации сети может существенно ограничить возможности злоумышленников по распространению через скомпрометированную сеть.