Обнаружен новый штамм вируса-вымогателя под названием Qilin, использующий относительно сложную, легко настраиваемую тактику для кражи данных для входа в учетную запись, хранящихся в браузере Google Chrome.
Международная исследовательская группа по вопросам безопасности Sophos X-Ops наблюдала методы сбора учетных данных во время реагирования на инцидент в Цилине. Это свидетельствует о тревожном изменении тенденций в работе этого опасного штамма вируса-вымогателя.
Обзор процесса атаки
Атака, проанализированная исследователями Sophos, началась с того, что вредоносная программа Qilin успешно получила доступ к целевой сети, используя скомпрометированные учетные данные на шлюзе VPN без многофакторной аутентификации (MFA).
За этим последовал 18-дневный период «спячки» вредоносного ПО, что указывает на то, что хакеры, вероятно, приобрели доступ к сети через брокера первоначального доступа (IAB). Вполне возможно, что Цилинь потратил время на картографирование сети, выявление ключевых активов и проведение разведки.
По истечении первых 18 дней вредоносная программа перемещается на контроллеры домена и изменяет объекты групповой политики (GPO) для выполнения скрипта PowerShell («IPScanner.ps1») на всех компьютерах, подключенных к доменной сети.
Этот скрипт выполняется пакетным скриптом ('logon.bat') и также включен в GPO. Он предназначен для сбора данных для входа, хранящихся в Google Chrome.
Пакетный скрипт настроен на запуск (и запуск скрипта PowerShell) каждый раз, когда пользователь входит в систему на своем компьютере. Параллельно украденные учетные данные будут сохранены в разделе «SYSVOL» под именем «LD» или «temp.log».
После отправки файлов на сервер управления и контроля (C2) компании Qilin локальные копии и соответствующие журналы событий были удалены, чтобы скрыть вредоносную активность. Наконец, Qilin размещает вредоносную программу-вымогатель и зашифрованные данные на взломанных компьютерах.
Другой объект групповой политики и отдельный командный файл («run.bat») также используются для загрузки и запуска программы-вымогателя на всех компьютерах в домене.
Сложность в обороне
Подход Qilin к учетным данным Chrome создает тревожный прецедент, который может затруднить защиту от атак программ-вымогателей.
Поскольку GPO применяется ко всем машинам в домене, каждое устройство, на котором зарегистрирован пользователь, подлежит процессу сбора учетных данных.
Это означает, что скрипт способен красть учетные данные со всех машин в системе, если эти машины подключены к домену и на них во время работы скрипта находится пользователь, вошедший в систему.
Такая масштабная кража учетных данных может позволить хакерам проводить новые атаки, что приведет к инцидентам безопасности, охватывающим несколько платформ и сервисов, что значительно усложнит меры реагирования. Это также создает постоянную угрозу, которая сохраняется еще долгое время после устранения инцидента с программой-вымогателем.
Организации могут снизить риск, внедрив строгую политику, запрещающую хранение секретных данных в веб-браузерах. Кроме того, внедрение многофакторной аутентификации является ключом к защите учетных записей от взлома, даже в случае компрометации учетных данных.
Наконец, реализация принципов наименьших привилегий и сегментации сети может существенно ограничить возможности злоумышленников по распространению через скомпрометированную сеть.
Умные телевизоры действительно покорили мир. Благодаря множеству замечательных функций и возможности подключения к Интернету технологии изменили то, как мы смотрим телевизор.
Холодильники — привычные бытовые приборы. Холодильники обычно имеют 2 отделения: холодильное отделение просторное и имеет подсветку, которая автоматически включается каждый раз, когда пользователь ее открывает, а морозильное отделение узкое и не имеет подсветки.
На сети Wi-Fi влияют многие факторы, помимо маршрутизаторов, пропускной способности и помех, но есть несколько разумных способов улучшить работу вашей сети.
Если вы хотите вернуться к стабильной версии iOS 16 на своем телефоне, вот базовое руководство по удалению iOS 17 и понижению версии с iOS 17 до 16.
Йогурт — замечательная еда. Полезно ли есть йогурт каждый день? Как изменится ваше тело, если вы будете есть йогурт каждый день? Давайте узнаем вместе!
В этой статье рассматриваются наиболее питательные виды риса и способы максимально увеличить пользу для здоровья любого выбранного вами вида риса.
Установление режима сна и отхода ко сну, смена будильника и корректировка рациона питания — вот некоторые из мер, которые помогут вам лучше спать и вовремя просыпаться по утрам.
Арендуйте, пожалуйста! Landlord Sim — мобильная игра-симулятор для iOS и Android. Вы будете играть за владельца жилого комплекса и начнете сдавать квартиры в аренду, чтобы улучшить интерьер своих апартаментов и подготовить их к приему арендаторов.
Получите игровой код Bathroom Tower Defense Roblox и обменяйте его на потрясающие награды. Они помогут вам улучшить или разблокировать башни с более высоким уроном.
Давайте максимально подробно изучим конструкцию, обозначения и принципы работы трансформаторов.
От лучшего качества изображения и звука до голосового управления и многого другого — эти функции на базе искусственного интеллекта делают смарт-телевизоры намного лучше!
Поначалу люди возлагали большие надежды на DeepSeek. Как ИИ-чат-бот, позиционируемый как серьезный конкурент ChatGPT, он обещает интеллектуальные возможности и возможности чата.
Легко упустить важные детали, записывая другие важные вещи, а попытки делать заметки во время общения могут отвлекать. Решение — Fireflies.ai.
Аксолот в Minecraft станет отличным помощником для игроков при действиях под водой, если они знают, как им пользоваться.
Конфигурация A Quiet Place: The Road Ahead имеет довольно высокий рейтинг, поэтому вам нужно будет рассмотреть ее перед принятием решения о загрузке.
