Chromeブラウザからログイン情報を盗むことに特化した新たなランサムウェアが発見される

Qilin と呼ばれる新しい種類のランサムウェアが、比較的洗練され、高度にカスタマイズ可能な戦術を使用して、Google Chrome ブラウザに保存されているアカウントのログイン情報を盗むことが発見されました。

Sophos X-Ops 国際セキュリティ研究チームは、Qilin へのインシデント対応中に認証情報収集手法を観察しました。これは、この危険なランサムウェアの動作傾向における憂慮すべき変化を示しています。

攻撃プロセスの概要

ソフォスの研究者が分析した攻撃は、Qilin マルウェアが多要素認証 (MFA) のない VPN ゲートウェイ上の侵害された資格情報を使用してターゲット ネットワークに正常にアクセスしたことから始まりました。

その後、マルウェアは18日間「休眠状態」となり、ハッカーが初期アクセスブローカー（IAB）を通じてネットワークへのアクセスを購入した可能性が高いことが示唆されました。 Qilin はネットワークのマッピング、主要資産の特定、偵察に時間を費やした可能性があります。

最初の 18 日後、マルウェアはドメイン コントローラーに横移動し、グループ ポリシー オブジェクト (GPO) を変更して、ドメイン ネットワークにログインしているすべてのマシンで PowerShell スクリプト (「IPScanner.ps1」) を実行します。

このスクリプトはバッチ スクリプト ('logon.bat') によって実行され、GPO にも含まれます。 Google Chrome に保存されているログイ��情報を収集するように設計されています。

バッチ スクリプトは、ユーザーが自分のマシンにログインするたびに実行 (および PowerShell スクリプトをトリガー) するように構成されています。同時に、盗まれた資格情報は「LD」または「temp.log」という名前で「SYSVOL」パーティションに保存されます。

ファイルを Qilin のコマンド アンド コントロール (C2) サーバーに送信した後、悪意のあるアクティビティを隠蔽するためにローカル コピーと関連イベント ログが削除されました。最後に、Qilin は侵害されたマシンにランサムウェアのペイロードと暗号化されたデータを展開します。

別の GPO と別のコマンド ファイル (「run.bat」) も、ドメイン内のすべてのマシンにランサムウェアをダウンロードして実行するために使用されます。

防御の複雑さ

Qilin の Chrome 認証情報に対するアプローチは、ランサムウェア攻撃からの保護をさらに困難にする可能性のある、問題のある前例となります。

GPO はドメイン内のすべてのマシンに適用されるため、ユーザーがログオンしているすべてのデバイスが資格情報収集プロセスの対象となります。

つまり、スクリプトの実行中にマシンがドメインに接続され、ユーザーがログインしている限り、スクリプトはシステム全体のすべてのマシンから資格情報を盗むことができます。

このような広範な認証情報の盗難により、ハッカーはさらなる攻撃を開始できるようになり、複数のプラットフォームやサービスにまたがるセキュリティインシデントが発生し、対応作業がはるかに煩雑になる可能性があります。これは、ランサムウェア事件が解決した後も長期間続く永続的な脅威となります。

組織は、Web ブラウザに秘密を保存することを禁止する厳格なポリシーを実装することでリスクを軽減できます。さらに、多要素認証を実装することは、資格情報が侵害された場合でもアカウントが乗っ取られるのを防ぐための鍵となります。

最後に、最小権限とネットワーク セグメンテーションの原則を実装すると、侵害されたネットワーク全体に広がる脅威の攻撃者の能力を大幅に阻止できます。