Le groupe de ransomwares Qilin utilise une nouvelle tactique et déploie un voleur personnalisé pour voler les informations d’identification de compte stockées dans le navigateur Google Chrome.

Les techniques de récolte des informations d’identification ont été observées par l’équipe Sophos X-Ops lors des engagements de réponse aux incidents et marquent un changement alarmant sur la scène des ransomwares.

Aperçu de l’attaque
L’attaque analysée par les chercheurs de Sophos a commencé par l’accès de Qilin à un réseau à l’aide d’informations d’identification compromises pour un portail VPN dépourvu d’authentification multifacteur (MFA).

La violation a été suivie de 18 jours de dormance, suggérant la possibilité que Qilin achète son accès au réseau auprès d’un courtier d’accès initial (IAB).

Qilin a peut-être passé du temps à cartographier le réseau, à identifier les actifs critiques et à effectuer des reconnaissances.

Après les 18 premiers jours, les attaquants se sont déplacés latéralement vers un contrôleur de domaine et ont modifié les Objets de stratégie de groupe (GPO) pour exécuter un script PowerShell (‘IPScanner.ps1’) sur toutes les machines connectées au réseau de domaine.

Le script, exécuté par un script batch ‘ ‘ logon.bat’) qui était également inclus dans le GPO, a été conçu pour collecter les informations d’identification stockées dans Google Chrome.

Le script batch a été configuré pour s’exécuter (et déclencher le script PS) chaque fois qu’un utilisateur se connectait à sa machine, tandis que les informations d’identification volées étaient enregistrées sur le partage ‘SYSVOL’ sous les noms ‘LD’ ou ‘temp.journal.’

Contenu du vidage LD

Après l’envoi des fichiers au serveur de commande et de contrôle (C2) de Qilin, les copies locales et les journaux d’événements associés ont été effacés pour dissimuler l’activité malveillante. Finalement, Qilin a déployé sa charge utile de ransomware et crypté les données sur les machines compromises.

Un autre objet de stratégie de groupe et un fichier batch séparé ‘ ‘ run.bat’) ont été utilisés pour télécharger et exécuter le ransomware sur toutes les machines du domaine.

Demande de rançon du roi

Complexité de la défense
L’approche de Qilin pour cibler les informations d’identification Chrome crée un précédent inquiétant qui pourrait rendre la protection contre les attaques de ransomware encore plus difficile.

Étant donné que l’objet de stratégie de groupe s’appliquait à toutes les machines du domaine, chaque appareil auquel un utilisateur se connectait était soumis au processus de collecte des informations d’identification.

Cela signifie que le script a potentiellement volé les informations d’identification de toutes les machines de l’entreprise, tant que ces machines étaient connectées au domaine et que des utilisateurs s’y connectaient pendant la période pendant laquelle le script était actif.

Un tel vol d’informations d’identification pourrait permettre des attaques de suivi, entraîner des violations généralisées sur plusieurs plates-formes et services, rendre les efforts de réponse beaucoup plus lourds et introduire une menace persistante et durable après la résolution de l’incident de ransomware.

Un compromis réussi de ce genre signifierait que non seulement les défenseurs doivent changer tous les mots de passe Active Directory; ils devraient également (en théorie) demander aux utilisateurs finaux de changer leurs mots de passe pour des dizaines, voire des centaines, de sites tiers pour lesquels les utilisateurs ont enregistré leurs combinaisons nom d’utilisateur-mot de passe dans le navigateur Chrome. – Les Sophos
Les organisations peuvent atténuer ce risque en imposant des politiques strictes pour interdire le stockage des secrets sur les navigateurs Web.

De plus, la mise en œuvre d’une authentification multifacteur est essentielle pour protéger les comptes contre les détournements, même en cas de compromission des informations d’identification.

Enfin, la mise en œuvre des principes du moindre privilège et la segmentation du réseau peuvent considérablement entraver la capacité d’un auteur de menace à se propager sur le réseau compromis.

Étant donné que Qilin est une menace sans contrainte et multiplateforme ayant des liens avec les experts en ingénierie sociale dispersés de Spider, tout changement tactique présente un risque important pour les organisations.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *