ランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む
2024年8月22日 Sophos X-Opsチームがランサムウェアの攻撃グループQilin(キリン)の侵害調査で、ネットワークのエンドポイントの一部にある Google Chrome ブラウザに保存されている認証情報(パスワード)を大量に盗む攻撃者の活動を特定しました。
目次
ランサムウェア攻撃集団「Qilin」とは
Qilin(キリン)は当、初脅威グループ「Agenda」という名前で表面化したが、1 か月後に Qilin に改名されました。
このグループは設立以来、過去2年間で130社以上の企業がダークウェブの漏洩サイトに追加されていますが、2023年末に攻撃が活発化するまで、あまり活動的ではありませんでした。
2023 年 12 月以降、彼らはエクスプロイトキットの Linux 暗号化ツールの開発しており、 これは特に人的リソースのニーズが少ない企業に好まれる 「VMware ESXi 」をターゲットに設計されています。
また、ロンドンの医療機関「Synnovis 」を攻撃し関連する病院のシステムを停止させるなど甚大な被害をもたらしています。このサイバー攻撃の影響でイギリス 複数の病院で発生したランサムウェア攻撃で血液備蓄が「非常に脆弱な」状態だと英国政府が声明を発表しました。
MFAを設定していないVPNサーバを侵害
攻撃者は、侵害された認証情報を介して環境への初期アクセスを取得しました。残念ながら、この初期アクセス方法は Qilin (または他のランサムウェア ギャング) にとって目新しいものではありません。
調査の結果、侵害したVPNには多要素認証 (MFA) 保護が欠けていることが判明したとのこと。
攻撃者はMFAが設定されていないVPNサーバから侵入しドメイン コントローラに到達すると、デフォルトのドメイン ポリシーを編集して、2 つの項目を含むログオン ベースのグループ ポリシー オブジェクト (GPO) を導入しました。
1 つ目は、IPScanner.ps1 という PowerShell スクリプトで、これには、Chrome ブラウザ内に保存されている認証情報データを収集しようとする 19 行のスクリプトが含まれていました。
2 番目の項目である、logon.bat というバッチ スクリプトには、IPScanner.ps1 を実行するコマンドが含まれていました。
この組み合わせにより、ネットワークに接続されたマシンの Chrome ブラウザーに保存されている資格情報が収集されました。これらの 2 つのスクリプトはログオン GPO にあったため、各クライアント マシンがログインすると実行されます。
エンドポイントでログオンが発生するたびにスクリプトが起動しSQLiteのデータベース ファイルが作成
ログオンが発生するたびに、logon.bat は IPScanner.ps1 を起動し、以下図 に示すように、LD という名前の SQLiteのデータベース ファイルと temp.log という名前のテキスト ファイルの 2 つのファイルを作成します。
参照:Sophos X-Ops
これらのファイルは、ドメインの SYSVOL 共有に新しく作成されたディレクトリに書き戻され、実行されたデバイスのホスト名 (この例では Hemlock) にちなんで名前が付けられました。
LD データベース ファイルの構造
LD データベース ファイルには、以下図 に示す構造が含まれています。
参照:Sophos X-Ops
発見されないという自信からからGPO を 3 日間以上ネットワーク上でアクティブのままにしている
攻撃者は、捕まったりネットワークへのアクセスを失ったりしないという自信を示すため、この GPO を 3 日間以上ネットワーク上でアクティブのままにしていました。
これにより、ユーザーがデバイスにログオンし、知らないうちにシステム上でChromeの認証情報収集スクリプトをトリガーする十分な機会が与えられました。
侵害範囲の特定を困難にするため、全てのファイルを削除しログを消去
侵害の範囲を評価することをさらに困難にするため、攻撃者は、収集した認証情報を含むファイルを盗み出して持ち出すと、すべてのファイルを削除し、ドメイン コントローラーと感染したマシンの両方のイベント ログをクリアしました。
身代金要求のメモを展開
証拠を削除した後、以下図 に示すように、ファイルを暗号化して身代金要求のメモを展開しました。
このランサムウェアは、実行されているデバイスのすべてのディレクトリにメモのコピーを残します。
参照:Sophos X-Ops
影響
この攻撃では、IPScanner.ps1 スクリプトは Chrome ブラウザをターゲットにしました。Chrome は現在ブラウザ市場の 65% 強を占めているため、統計的に見て、大量のパスワードが収集される可能性が最も高い選択肢です。
各攻撃の成功は、各ユーザーがブラウザに保存している認証情報によって決まります。
※感染した各マシンから取得されるパスワードの数については、最近の調査によると、平均的なユーザーは仕事関連のパスワードを 87 個、個人用のパスワードをその約 2 倍持っています。
この種の侵害が成功すると、防御側はすべての Active Directory パスワードを変更するだけでなく、エンド ユーザーに、Chrome ブラウザにユーザー名とパスワードの組み合わせを保存している数十、場合によっては数百のサードパーティ サイトのパスワードを変更するよう要求する必要が生じます 。
対策
MFAの導入
まず対策としてMFAの導入が挙げられます。
2024年5月にMicrosoft(マイクロソフト)の研究者が発表した論文によると、多要素認証(MFA)を利用する事によりセキュリティの侵害リスクを 99.22% 削減し、パスワードが漏洩した際のセキュリティリスクを 98.56% 削減することが示されました。
この結果から多要素認証の有効性やメリットがある事が分かり、Microsoftの研究者は商用の各種クラウドやSaaSアカウントは、デフォルトで多要素認証を有効化する事を推奨しています。
また、Sophos 独自の Powershell.01 クエリは、攻撃の過程で実行された疑わしい PowerShell コマンドの特定に役立ちました。
このクエリは、他の多くのクエリとともに、Sophos の Github から無料で入手できます。
参照元
Qilin ransomware caught stealing credentials stored in Google Chrome
関連記事