Qilin ransomware now steals credentials from Chrome browsers

Qilin ランサムウェアグループは、Google Chrome ブラウザに保存されているアカウント認証情報を盗むために、カスタムステーラーを展開する新しい手口を使用しています。

ソフォスの X-Ops チームは、インシデントレスポンス活動において、このような認証情報を盗むテクニックを確認しており、ランサムウェアシーンに驚くべき変化をもたらしています。

攻撃の概要

ソフォスのリサーチャーが分析した攻撃は、多要素認証 (MFA) がない VPN ポータルで侵害された認証情報を使用して、Qilin がネットワークにアクセスすることから始まりました。

この侵入の後、18日間の休眠状態が続いたことから、Qilin が初期アクセスブローカー (IAB) からネットワークに侵入した可能性が示唆されました。

麒麟はネットワークのマッピング、重要資産の特定、偵察に時間を費やした可能性がある。

最初の18日間の後、攻撃者はドメインコントローラに移動し、グループポリシーオブジェクト(GPO)を修正して、ドメインネットワークにログインしているすべてのマシンでPowerShellスクリプト(’IPScanner.ps1’)を実行しました。

このスクリプトは、同じくGPOに含まれていたバッチスクリプト(’logon.bat’)によって実行され、Google Chromeに保存されている認証情報を収集するように設計されていました。

バッチスクリプトは、ユーザーが自分のマシンにログインするたびに実行され(PSスクリプトが起動され)、盗まれた認証情報は「LD」または「temp.log」という名前で「SYSVOL」共有に保存されるように設定されていました。

Contents of the LD dump
LD ダンプの内容
Source:ソフォス

ファイルをQilinのコマンド&コントロール(C2)サーバーに送信した後、悪意のある活動を隠すために、ローカルコピーと関連するイベントログは消去されました。最終的に Qilin はランサムウェアのペイロードを展開し、侵害されたマシン上のデータを暗号化しました。

別のGPOと別のバッチファイル(’run.bat’)を使用して、ドメイン内のすべてのマシンにランサムウェアをダウンロードし、実行しました。

Qilin's ransom note
Qilin のランサムノート
Source:ソフォス

防御の複雑さ

Chrome の認証情報をターゲットにした Qilin のアプローチは、ランサムウェア攻撃からの防御をさらに困難なものにする可能性がある、懸念すべき前例を作り出しています。

GPO はドメイン内のすべてのマシンに適用されるため、ユーザーがログインするすべてのデバイスが認証情報の採取プロセスの対象となります。

つまり、スクリプトが有効な期間中に、ドメインに接続され、ユーザーがログインしているマシンであれば、スクリプトは会社全体のすべてのマシンから認証情報を盗む可能性がありました。

このような広範な認証情報の窃取は、後続の攻撃を可能にし、複数のプラットフォームやサービスにわたる広範な侵害につながり、対応作業を非常に面倒なものにし、ランサムウェアのインシデントが解決した後も長引く脅威をもたらす可能性がある。

この種の侵害が成功した場合、防御側はすべての Active Directory パスワードを変更しなければならないだけでなく、(理論的には)エンドユーザーに対して、ユーザーが Chrome ブラウザにユーザー名とパスワードの組み合わせを保存している何十、何百ものサードパーティサイトのパスワードも変更するよう要求する必要があります。– ソフォス

組織は、ウェブブラウザに秘密を保存することを禁止する厳格なポリシーを課すことで、このリスクを軽減することができます。

さらに、多要素認証を導入することは、クレデンシャルが漏洩した場合でも、アカウントを乗っ取りから保護する上で重要です。

最後に、最小特権の原則を実行し、ネットワークをセグメント化することで、侵害されたネットワーク上で拡散する脅威行為者の能力を大幅に妨害することができる。

Qilin がソーシャル・エンジニアリングの専門家であるScattered Spiderと連携した、制約のない マルチプラットフォームの脅威であることを考えると、戦術的な変更は組織にとって重大なリスクとなります。