Експерти з кібербезпеки виявили тривожну тенденцію в тактиці операторів шифрувальника Qilin. Зловмисники почали використовувати спеціально розроблений інфостилер для викрадення облікових даних, що зберігаються в браузері Google Chrome. Ця нова стратегія значно підвищує ризики для організацій та ускладнює процес відновлення після атак.
Анатомія атаки: від проникнення до шифрування
Дослідники Sophos X-Ops проаналізували атаку Qilin, що сталася в липні 2024 року. Зловмисники отримали початковий доступ через VPN-портал без багатофакторної автентифікації, використовуючи скомпрометовані облікові дані. Після проникнення хакери 18 днів не проявляли активності, ймовірно, вивчаючи мережу жертви або очікуючи подальших інструкцій від брокера доступу.
Розгортання інфостилера через GPO
Після періоду бездіяльності атакуючі модифікували об’єкти групової політики (GPO) для запуску PowerShell-скрипта IPScanner.ps1 на всіх машинах домену. Цей скрипт, що виконувався через batch-файл logon.bat, був призначений для збору облікових даних з Google Chrome при кожному вході користувача в систему.
Механізм крадіжки та приховування слідів
Викрадені облікові дані зберігалися на спільному ресурсі SYSVOL під іменами LD і temp.log. Після відправки цієї інформації на командний сервер Qilin, локальні копії файлів та відповідні журнали подій видалялися для приховування слідів зловмисної активності.
Наслідки та ризики масштабної крадіжки облікових даних
Використання GPO для розгортання інфостилера на всіх машинах домену створює серйозну загрозу. Це дозволяє зловмисникам потенційно отримати доступ до облікових даних усіх користувачів компанії, які входили в систему на будь-якому пристрої, підключеному до домену.
Аналітики Sophos попереджають, що такий масштабний витік облікових даних може призвести до:
- Подальших цільових атак на організацію
- Компрометації численних платформ і сервісів
- Значного ускладнення процесу реагування на інциденти
- Довгострокових загроз, що зберігаються навіть після ліквідації наслідків вимагацької атаки
Експерти підкреслюють, що успішна атака такого типу вимагає не лише зміни всіх паролів Active Directory, але й потенційно змушує кінцевих користувачів оновлювати паролі для десятків або навіть сотень сторонніх сайтів, облікові дані яких зберігалися в Chrome.
Ця нова тактика Qilin демонструє зростаючу витонченість кіберзлочинців та підкреслює важливість комплексного підходу до кібербезпеки. Організаціям рекомендується посилити захист своїх мереж, впровадити багатофакторну автентифікацію, регулярно оновлювати паролі та проводити навчання співробітників з питань кібергігієни. Тільки комплексний підхід до безпеки може ефективно протистояти сучасним кіберзагрозам.