Agenda (Qilin) ランサムウェア攻撃により Google Chrome の認証情報が盗まれる
Agenda (Qilin) ランサムウェアグループは、Google Chrome ブラウザに保存されているアカウント認証情報を収集するためにカスタム スティーラーを展開するという、懸念すべき新しい戦術を導入しました。最近のインシデント対応活動中に Sophos X-Ops チームが確認したこの展開は、ランサムウェアの状況が著しくエスカレートしていることを示しており、これらの攻撃に対する防御がさらに困難になっています。
目次
攻撃の概要: 詳細な分析
ソフォスの研究者は、Agenda/Qilin 攻撃を分析しました。この攻撃は、多要素認証 (MFA) のない VPN ポータルの認証情報を侵害してネットワークにアクセスしたグループから始まりました。侵入後、18 日間の非アクティブ期間が続きました。これは、Qilin が初期アクセス ブローカー (IAB) からネットワークへのアクセスを購入した可能性があることを示唆しています。この非アクティブ期間中に、攻撃者はネットワークのマッピング、重要な資産の特定、偵察に時間を費やしたと考えられます。
この偵察期間の後、攻撃者はドメイン コントローラに横移動し、そこでグループ ポリシー オブジェクト (GPO) を変更して、ドメイン ネットワークにログインしているすべてのマシンで PowerShell スクリプト「IPScanner.ps1」を実行しました。バッチ ファイル「logon.bat」によって実行されるこのスクリプトは、Google Chrome に保存されている資格情報を収集するように特別に設計されていました。
Chrome 認証情報の収集: 新たな危険
バッチ スクリプトは、ユーザーがマシンにログインするたびに PowerShell スクリプトをトリガーし、盗まれた認証情報は「LD」または「temp.log」という名前で「SYSVOL」共有に保存されました。これらのファイルはその後、Agenda/Qilin のコマンド アンド コントロール (C2) サーバーに送信され、その後、ローカル コピーと関連イベント ログが消去されて攻撃者の痕跡が隠されました。その後、Agenda (Qilin) はランサムウェア ペイロードを展開し、侵害されたマシン全体のデータを暗号化しました。ドメイン内のすべてのマシンにランサムウェアをダウンロードして実行するために、別の GPO とバッチ ファイル「run.bat」が使用されました。
Agenda/Qilin の Chrome 認証情報を狙う手法は、GPO がドメイン内のすべてのマシンに適用されているため、特に警戒すべきものです。つまり、ユーザーがログインしたすべてのデバイスが認証情報収集プロセスの対象となります。スクリプトが動作していた期間中にドメインに接続され、アクティブなユーザー ログインがあった限り、スクリプトは会社全体のすべてのマシンから認証情報を盗む可能性があります。
影響と緩和戦略
この方法によって広範囲に渡る認証情報の盗難が促進されると、その後の攻撃や、複数のプラットフォームやサービスにわたる広範な侵害につながり、対応作業が著しく複雑になる可能性があります。さらに、最初のランサムウェア インシデントが解決した後も、持続的な脅威が残る可能性があります。
このリスクを軽減するには、組織は Web ブラウザに認証情報を保存することに対して厳格なポリシーを適用する必要があります。多要素認証を実装することも、認証情報が侵害された場合でもアカウントを乗っ取りから保護するために重要です。さらに、最小権限の原則を適用し、ネットワークをセグメント化することで、侵害された環境内で脅威アクターが横方向に移動する能力を大幅に妨げることができます。
Qilin と Scattered Spider ソーシャル エンジニアリング グループとのつながりや、同グループのマルチプラットフォーム機能を考えると、この戦術的変化は組織にとって大きなリスクとなります。Qilin のようなランサムウェア グループが進化を続ける中、警戒を怠らず、積極的に強力なセキュリティ対策を実施することがこれまで以上に重要になっています。