برنامج الفدية Qilin يسرق الآن بيانات الاعتماد من متصفحات Chrome

تستخدم مجموعة Qilin ransomware تكتيكًا جديدًا وتنشر سارقًا مخصصًا لسرقة بيانات اعتماد الحساب المخزنة في متصفح Google Chrome.

لقد لاحظ فريق Sophos X-Ops تقنيات حصاد بيانات الاعتماد أثناء الاستجابة للحوادث، وهو ما يمثل تغييراً مثيراً للقلق في مشهد برامج الفدية.

نظرة عامة على الهجوم

بدأ الهجوم الذي قام باحثو Sophos بتحليله عندما تمكنت Qilin من الوصول إلى شبكة باستخدام بيانات اعتماد مخترقة لبوابة VPN تفتقر إلى المصادقة متعددة العوامل (MFA).

تبع الاختراق 18 يومًا من الخمول، مما يشير إلى احتمال قيام Qilin بشراء طريقها إلى الشبكة من وسيط الوصول الأولي (IAB).

ومن المحتمل أن يكون تشيلين قد أمضى وقته في رسم خريطة الشبكة، وتحديد الأصول الحرجة، وإجراء الاستطلاع.

بعد أول 18 يومًا، انتقل المهاجمون بشكل جانبي إلى وحدة تحكم المجال وقاموا بتعديل كائنات نهج المجموعة (GPOs) لتنفيذ البرنامج النصي PowerShell (‘IPScanner.ps1’) على جميع الأجهزة المسجلة في شبكة المجال.

تم تصميم البرنامج النصي، الذي تم تنفيذه بواسطة البرنامج النصي الدفعي (‘logon.bat’) والذي تم تضمينه أيضًا في GPO، لجمع بيانات الاعتماد المخزنة في Google Chrome.

تم تكوين البرنامج النصي الدفعي ليتم تشغيله (وتشغيل البرنامج النصي PS) في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى جهازه، بينما تم حفظ بيانات الاعتماد المسروقة على مشاركة “SYSVOL” تحت الأسماء “LD” أو “temp.log”.

بعد إرسال الملفات إلى خادم الأوامر والتحكم (C2) الخاص بشركة Qilin، تم مسح النسخ المحلية وسجلات الأحداث ذات الصلة، لإخفاء النشاط الخبيث. في النهاية، قامت شركة Qilin بنشر حمولة برامج الفدية الخاصة بها وبياناتها المشفرة على الأجهزة المخترقة.

تم استخدام GPO آخر وملف دفعة منفصل (‘run.bat’) لتنزيل برامج الفدية وتنفيذها عبر جميع الأجهزة في المجال.

تعقيد الدفاع

يشكل نهج Qilin لاستهداف بيانات اعتماد Chrome سابقة مثيرة للقلق من شأنها أن تجعل الحماية من هجمات برامج الفدية أكثر تحديًا.

نظرًا لأن GPO تم تطبيقه على جميع الأجهزة في المجال، فإن كل جهاز سجل المستخدم الدخول إليه كان خاضعًا لعملية جمع بيانات الاعتماد.

يعني هذا أن البرنامج النصي قد سرق بيانات الاعتماد من جميع الأجهزة في جميع أنحاء الشركة، طالما كانت هذه الأجهزة متصلة بالنطاق وكان بها مستخدمون يقومون بتسجيل الدخول إليها خلال الفترة التي كان البرنامج النصي نشطًا فيها.

إن سرقة بيانات الاعتماد على نطاق واسع من هذا القبيل قد تمكن من شن هجمات لاحقة، وتؤدي إلى خروقات واسعة النطاق عبر منصات وخدمات متعددة، وتجعل جهود الاستجابة أكثر صعوبة، وتقدم تهديدًا مستمرًا وطويل الأمد بعد حل حادثة برامج الفدية.

إن أي حل وسط ناجح من هذا النوع يعني أنه ليس فقط يجب على المدافعين تغيير جميع كلمات مرور Active Directory؛ بل يجب عليهم أيضًا (نظريًا) أن يطلبوا من المستخدمين النهائيين تغيير كلمات المرور الخاصة بهم لعشرات، وربما مئات، المواقع التابعة لجهات خارجية والتي حفظ المستخدمون مجموعات اسم المستخدم وكلمة المرور الخاصة بهم في متصفح Chrome. سوفوس

يمكن للمؤسسات التخفيف من هذا الخطر من خلال فرض سياسات صارمة لمنع تخزين الأسرار على متصفحات الويب.

بالإضافة إلى ذلك، يعد تنفيذ المصادقة متعددة العوامل أمرًا أساسيًا لحماية الحسابات ضد عمليات الاختراق، حتى في حالة تعرض بيانات الاعتماد للخطر.

أخيرًا، قد يؤدي تطبيق مبادئ الحد الأدنى من الامتيازات وتقسيم الشبكة إلى إعاقة قدرة الجهة المهددة على الانتشار على الشبكة المخترقة بشكل كبير.

نظرا لأن تشيلين هو غير مقيد و التهديد متعدد المنصات مع روابط إلىالعنكبوت المبعثروبحسب خبراء الهندسة الاجتماعية، فإن أي تغيير تكتيكي يشكل خطراً كبيراً على المنظمات.