Обнаружен новый штамм вируса-вымогателя под названием Qilin, использующий относительно сложную, легко настраиваемую тактику для кражи данных для входа в учетную запись, хранящихся в браузере Google Chrome.
Международная исследовательская группа по вопросам безопасности Sophos X-Ops наблюдала методы сбора учетных данных во время реагирования на инцидент в Цилине. Это свидетельствует о тревожном изменении тенденций в работе этого опасного штамма вируса-вымогателя.
Обзор процесса атаки
Атака, проанализированная исследователями Sophos, началась с того, что вредоносная программа Qilin успешно получила доступ к целевой сети, используя скомпрометированные учетные данные на шлюзе VPN без многофакторной аутентификации (MFA).
За этим последовал 18-дневный период «спячки» вредоносного ПО, что указывает на то, что хакеры, вероятно, приобрели доступ к сети через брокера первоначального доступа (IAB). Вполне возможно, что Цилинь потратил время на картографирование сети, выявление ключевых активов и проведение разведки.
По истечении первых 18 дней вредоносная программа перемещается на контроллеры домена и изменяет объекты групповой политики (GPO) для выполнения скрипта PowerShell («IPScanner.ps1») на всех компьютерах, подключенных к доменной сети.
Этот скрипт выполняется пакетным скриптом ('logon.bat') и также включен в GPO. Он предназначен для сбора данных для входа, хранящихся в Google Chrome.
Пакетный скрипт настроен на запуск (и запуск скрипта PowerShell) каждый раз, когда пользователь входит в систему на своем компьютере. Параллельно украденные учетные данные будут сохранены в разделе «SYSVOL» под именем «LD» или «temp.log».
После отправки файлов на сервер управления и контроля (C2) компании Qilin локальные копии и соответствующие журналы событий были удалены, чтобы скрыть вредоносную активность. Наконец, Qilin размещает вредоносную программу-вымогатель и зашифрованные данные на взломанных компьютерах.
Другой объект групповой политики и отдельный командный файл («run.bat») также используются для загрузки и запуска программы-вымогателя на всех компьютерах в домене.
Сложность в обороне
Подход Qilin к учетным данным Chrome создает тревожный прецедент, который может затруднить защиту от атак программ-вымогателей.
Поскольку GPO применяется ко всем машинам в домене, каждое устройство, на котором зарегистрирован пользователь, подлежит процессу сбора учетных данных.
Это означает, что скрипт способен красть учетные данные со всех машин в системе, если эти машины подключены к домену и на них во время работы скрипта находится пользователь, вошедший в систему.
Такая масштабная кража учетных данных может позволить хакерам проводить новые атаки, что приведет к инцидентам безопасности, охватывающим несколько платформ и сервисов, что значительно усложнит меры реагирования. Это также создает постоянную угрозу, которая сохраняется еще долгое время после устранения инцидента с программой-вымогателем.
Организации могут снизить риск, внедрив строгую политику, запрещающую хранение секретных данных в веб-браузерах. Кроме того, внедрение многофакторной аутентификации является ключом к защите учетных записей от взлома, даже в случае компрометации учетных данных.
Наконец, реализация принципов наименьших привилегий и сегментации сети может существенно ограничить возможности злоумышленников по распространению через скомпрометированную сеть.
Возникли проблемы с ошибкой в руководстве по использованию Microsoft Teams? Узнайте о проверенных пошаговых способах её быстрого устранения. Очистка кэша, обновление и многое другое для беспроблемного начала работы. Работает на последних версиях!
Устали от ошибок воспроизведения мультимедиа в Microsoft Teams, которые портят ваши встречи в 2026 году? Следуйте нашему пошаговому руководству от экспертов, чтобы быстро устранить неполадки со звуком, видео и обменом файлами — никаких технических навыков не требуется. Вас ждет бесперебойное сотрудничество!
Возникли проблемы с ошибкой прокси-сервера Microsoft Teams? Ознакомьтесь с проверенными шагами по устранению неполадок с настройками прокси-сервера Microsoft Teams. Очистите кэш, настройте параметры прокси-сервера и вернитесь к бесперебойным звонкам за считанные минуты с помощью нашего руководства от экспертов.
Устали от ошибок синхронизации задач в Microsoft Teams, которые мешают вашей работе? Следуйте нашим пошаговым инструкциям, чтобы восстановить бесперебойную синхронизацию задач между Teams, Planner и To Do. Быстрые решения для мгновенного облегчения!
Найдите точное расположение ключей реестра Microsoft Teams в Windows 11. Пошаговое руководство по поиску, доступу и безопасному изменению этих ключей для оптимальной производительности и устранения неполадок. Незаменимо для ИТ-специалистов и энтузиастов Teams.
Проблемы с медленной работой Microsoft Teams? Узнайте, как пошагово очистить кэш Microsoft Teams, чтобы устранить проблемы с производительностью, задержки, сбои и повысить скорость работы на Windows, Mac, в веб-версии и на мобильных устройствах. Быстрые и эффективные решения!
Возникла проблема с загрузкой вкладки Wiki в Microsoft Teams? Узнайте о проверенных пошаговых решениях, которые помогут быстро устранить проблему, восстановить вкладки Wiki и без лишних хлопот повысить производительность команды.
Раздражает отсутствие значка Microsoft Teams в Outlook? Узнайте, где именно его найти, почему он исчезает, и проверенные шаги по его восстановлению для беспроблемных встреч. Обновлено для последних версий!
Разочарованы отсутствием комнат для обсуждений в вашей встрече Teams? Узнайте о главных причинах, по которым вы не видите комнаты для обсуждений в Teams, и следуйте нашим пошаговым инструкциям, чтобы они заработали за считанные минуты. Идеально подходит как для организаторов, так и для участников!
Устали от ошибки Microsoft Teams 1200, которая прерывает ваши телефонные звонки? Узнайте о быстрых пошаговых решениях для iOS и Android, чтобы быстро восстановить бесперебойную командную работу — никаких технических навыков не требуется!
