Разработчики шифровальщика Qilin перешли на новую тактику и теперь применяют против своих жертв кастомный инфостилер, который ворует учетные данные, хранящиеся в браузере Google Chrome.
На обновление Qilin обратили внимание специалисты Sophos X-Ops, которые пишут, что это крайне тревожные изменения.
Атака, которую изучили исследователи, произошла в июле 2024 года и началась с того, что операторы Qilin получили доступ к сети, используя скомпрометированные учетные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация.
После взлома злоумышленники бездействовали целых 18 дней. По мнению экспертов, это может означать, что хакеры купили доступ к взломанной сети сеть у брокера доступов. Также возможно, что в это время операторы Qilin изучали сеть жертвы, выявляя критически важные ресурсы и проводя разведку.
После длительной паузы злоумышленники перешли к контроллеру домена и изменили объекты групповой политики (Group Policy Object, GPO), чтобы запустить скрипт PowerShell (IPScanner.ps1) на всех машинах, входящих в доменную сеть. Этот скрипт, выполняемый batch-скриптом logon.bat, был предназначен для сбора учетных данных, хранящихся в Google Chrome.
Batch-скрипт был настроен на выполнение (и запуск PS-скрипта) каждый раз, когда пользователь входил в систему, а украденные учетные данные сохранялись на общем ресурсе SYSVOL под именами LD и temp.log.
После отправки этих файлов на управляющий сервер Qilin, локальные копии и соответствующие журналы событий стирались, чтобы скрыть вредоносную активность.
В конечном итоге операторы Qilin развернули в сети жертвы вымогательскую полезную нагрузку и зашифровали все данные на скомпрометированных машинах. Еще один GPO и отдельный batch-файл (run.bat) использовались для загрузки и выполнения шифровальщика на всех машинах в домене.
Исследователи предупреждают, что сбор учетных данных из Chrome создает тревожный прецедент, который может сделать защиту от вымогательских атак более сложной. Поскольку GPO применялся ко всем машинам в домене, на каждом устройстве, на которое заходили пользователи, осуществлялся процесс сбора учетных данных. То есть скрипт мог похитить учетные данные со всех машин компании, если эти машины были подключены к домену, и на них входили пользователи.
Эксперты Sophos пишут, что столь масштабная кража учетных данных может привести к последующим атакам, масштабной компрометации различных платформ и сервисов, а также значительно усложнит работу по реагированию на инциденты, создавая долгосрочную угрозу, которая будет сохраняться даже после устранения последствий самой вымогательской атаки.
«Успешная компрометация такого рода означает, что защитники должны будут не только изменить все пароли Active Directory, но и (теоретически) потребовать от конечных пользователей изменить все пароли для десятков, а возможно, и сотен сторонних сайтов, для которых они хранили комбинации имени пользователя и пароля в браузере Chrome», — объясняют аналитики.