Операторы вымогательского ПО Qilin начали применять новую тактику и использовать специализированный инструмент для компрометации учётных данных пользователей, хранящихся в браузере Google Chrome. Новые методы сбора учетных данных были обнаружены командой Sophos X-Ops во время мероприятий по реагированию на инциденты.
По словам экспертов, подобные атаки знаменуют собой тревожные изменения на рынке программ-вымогателей. Уточняется, что атака, проанализированная исследователями Sophos, началась с того, что хакеры из Qilin получили доступ к сети, используя скомпрометированные учетные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация (MFA). За взломом последовало 18 дней бездействия, что позволяет предположить, что Qilin, возможно, купила доступ к сети у брокера первоначального доступа (IAB).
Спустя первые 18 дней злоумышленники перешли на контроллер домена и изменили объекты групповой политики (GPO) для выполнения скрипта PowerShell («IPScanner.ps1») на всех компьютерах, подключенных к доменной сети.
Скрипт, выполняемый пакетным скриптом («logon.bat»), который также был включён в GPO, был разработан для сбора учетных данных, хранящихся в Google Chrome. Пакетный скрипт был настроен на запуск (и запуск скрипта PS) каждый раз, когда пользователь входил в систему, в то время как украденные учетные данные сохранялись в общем ресурсе «SYSVOL» под именами «LD» или «temp.log».
После отправки файлов на сервер управления и контроля (C2) Qilin локальные копии и соответствующие журналы событий были стёрты, чтобы скрыть вредоносную активность. В конце концов, Qilin развернули свою вредоносную программу-вымогатель и зашифровали данные на скомпрометированных машинах.
Другой объект групповой политики и отдельный пакетный файл («run.bat») использовались для загрузки и запуска программы-вымогателя на всех компьютерах в домене.
Как отмечают эксперты Sophos, подход Qilin к атакам на учетные данные Chrome создаёт тревожный прецедент, который может ещё больше усложнить защиту от атак программ-вымогателей.
Оригинал публикации на сайте CISOCLUB: "Хакеры-вымогатели из Qilin начали красть учетные данные пользователей из Chrome".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
