باج افزار Qilin با موفقیت در حال استخراج داده های حساس ذخیره شده در Google Chrome مشاهده شده است.
در نوشته خود، محققان Sophos فاش کردند که چگونه یک گروه جنایتکار از اعتبارنامه هایی که قبلاً به خطر افتاده بود برای ورود به زیرساخت فناوری اطلاعات یک سازمان ناشناس استفاده می کرد.
اعتبار مرورگر مربوط به یک پورتال شبکه خصوصی مجازی ( VPN ) بود که فاقد احراز هویت چند عاملی (MFA) بود و دسترسی به آن نسبتاً آسان بود.
سرقت دسته جمعی مدارک
Sophos او میگوید مشخص نیست که نقض اولیه توسط یک کارگزار دسترسی اولیه (IAB) انجام شده و سپس به اپراتورهای باجافزار تحویل داده شده است یا اینکه همه آن توسط یک سازمان انجام شده است.
در هر صورت، این گروه بیش از دو هفته (18 روز) قبل از انتقال جانبی به یک کنترل کننده دامنه با استفاده از اعتبارنامه های به خطر افتاده، ماندگار شد. محققان به این نتیجه رسیدند که در حالی که کلاهبرداران روی یک کنترل کننده دامنه در دامنه Active Directory هدفشان مشاهده شده اند، سایر کنترل کننده های دامنه در آن دامنه AD آلوده شده اند. با این حال، آنها به طور متفاوت تحت تأثیر قرار گرفتند.
Qilin یک عملیات باجافزار کلاسیک است که در حمله معمولی دو اخاذی شرکت میکند - ابتدا تا آنجا که ممکن است اطلاعات را میدزدد، قبل از اینکه دستگاه در معرض خطر را رمزگذاری کند و در ازای کلید رمزگشایی درخواست پرداخت کند. با این حال، به گفته محققان، آنچه این عملیات را نسبتا منحصر به فرد می کند، روشی است که Google Chrome را هدف قرار می دهد.
تیم Sophos X-Ops طی تحقیقات اخیر در مورد نقض باجافزار Qilin، فعالیت مهاجمی را شناسایی کرد که منجر به سرقت انبوه اعتبارنامههای ذخیرهشده در مرورگرهای Google Chrome در زیرمجموعهای از نقاط پایانی شبکه میشد – یک تکنیک جمعآوری اعتبار با پیامدهای بالقوه بسیار فراتر از آن. محققان توضیح دادند که سازمان قربانی اصلی. این یک تاکتیک غیرمعمول است و میتواند برای هرج و مرج موجود در موقعیتهای باجافزار پاداشی چندبرابرکننده باشد.»
به عبارت دیگر، Qilin اعتبارنامههای ذخیره شده در مرورگرهای کروم را در ماشینهایی که به همان شبکهای که در ابتدا به خطر افتاده است متصل میکند، جمعآوری میکند.
سوفوس نتیجه گرفت که مجرمان سایبری به تکامل تاکتیکهای خود ادامه میدهند و تأکید میکند که سازمانها باید بیشتر به مدیران رمز عبور اعتماد کنند و اطمینان حاصل کنند که MFA را تا جایی که ممکن است فعال میکنند تا احتمال طعمه شدن را به حداقل برسانند.
ارسال نظر