Новая версия вымогателя Qilin ворует данные из Chrome - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
27-08-2024, 00:00
Новая версия вымогателя Qilin ворует данные из Chrome - «Новости»
Рейтинг:
Категория: Новости

Разработчики шифровальщика Qilin перешли на новую тактику и теперь применяют против своих жертв кастомный инфостилер, который ворует учетные данные, хранящиеся в браузере Google Chrome.


На обновление Qilin обратили внимание специалисты Sophos X-Ops, которые пишут, что это крайне тревожные изменения.


Атака, которую изучили исследователи, произошла в июле 2024 года и началась с того, что операторы Qilin получили доступ к сети, используя скомпрометированные учетные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация.


После взлома злоумышленники бездействовали целых 18 дней. По мнению экспертов, это может означать, что хакеры купили доступ к взломанной сети сеть у брокера доступов. Также возможно, что в это время операторы Qilin изучали сеть жертвы, выявляя критически важные ресурсы и проводя разведку.


После длительной паузы злоумышленники перешли к контроллеру домена и изменили объекты групповой политики (Group Policy Object, GPO), чтобы запустить скрипт PowerShell (IPScanner.ps1) на всех машинах, входящих в доменную сеть. Этот скрипт, выполняемый batch-скриптом logon.bat, был предназначен для сбора учетных данных, хранящихся в Google Chrome.


Batch-скрипт был настроен на выполнение (и запуск PS-скрипта) каждый раз, когда пользователь входил в систему, а украденные учетные данные сохранялись на общем ресурсе SYSVOL под именами LD и temp.log.


Новая версия вымогателя Qilin ворует данные из Chrome - «Новости»

Содержимое LD

После отправки этих файлов на управляющий сервер Qilin, локальные копии и соответствующие журналы событий стирались, чтобы скрыть вредоносную активность.


В конечном итоге операторы Qilin развернули в сети жертвы вымогательскую полезную нагрузку и зашифровали все данные на скомпрометированных машинах. Еще один GPO и отдельный batch-файл (run.bat) использовались для загрузки и выполнения шифровальщика на всех машинах в домене.


Исследователи предупреждают, что сбор учетных данных из Chrome создает тревожный прецедент, который может сделать защиту от вымогательских атак более сложной. Поскольку GPO применялся ко всем машинам в домене, на каждом устройстве, на которое заходили пользователи, осуществлялся процесс сбора учетных данных. То есть скрипт мог похитить учетные данные со всех машин компании, если эти машины были подключены к домену, и на них входили пользователи.


Эксперты Sophos пишут, что столь масштабная кража учетных данных может привести к последующим атакам, масштабной компрометации различных платформ и сервисов, а также значительно усложнит работу по реагированию на инциденты, создавая долгосрочную угрозу, которая будет сохраняться даже после устранения последствий самой вымогательской атаки.


«Успешная компрометация такого рода означает, что защитники должны будут не только изменить все пароли Active Directory, но и (теоретически) потребовать от конечных пользователей изменить все пароли для десятков, а возможно, и сотен сторонних сайтов, для которых они хранили комбинации имени пользователя и пароля в браузере Chrome», — объясняют аналитики.


Разработчики шифровальщика Qilin перешли на новую тактику и теперь применяют против своих жертв кастомный инфостилер, который ворует учетные данные, хранящиеся в браузере Google Chrome. На обновление Qilin обратили внимание специалисты Sophos X-Ops, которые пишут, что это крайне тревожные изменения. Атака, которую изучили исследователи, произошла в июле 2024 года и началась с того, что операторы Qilin получили доступ к сети, используя скомпрометированные учетные данные для VPN-портала, на котором отсутствовала многофакторная аутентификация. После взлома злоумышленники бездействовали целых 18 дней. По мнению экспертов, это может означать, что хакеры купили доступ к взломанной сети сеть у брокера доступов. Также возможно, что в это время операторы Qilin изучали сеть жертвы, выявляя критически важные ресурсы и проводя разведку. После длительной паузы злоумышленники перешли к контроллеру домена и изменили объекты групповой политики (Group Policy Object, GPO), чтобы запустить скрипт PowerShell (IPScanner.ps1) на всех машинах, входящих в доменную сеть. Этот скрипт, выполняемый batch-скриптом logon.bat, был предназначен для сбора учетных данных, хранящихся в Google Chrome. Batch-скрипт был настроен на выполнение (и запуск PS-скрипта) каждый раз, когда пользователь входил в систему, а украденные учетные данные сохранялись на общем ресурсе SYSVOL под именами LD и temp.log. Содержимое LD После отправки этих файлов на управляющий сервер Qilin, локальные копии и соответствующие журналы событий стирались, чтобы скрыть вредоносную активность. В конечном итоге операторы Qilin развернули в сети жертвы вымогательскую полезную нагрузку и зашифровали все данные на скомпрометированных машинах. Еще один GPO и отдельный batch-файл (run.bat) использовались для загрузки и выполнения шифровальщика на всех машинах в домене. Исследователи предупреждают, что сбор учетных данных из Chrome создает тревожный прецедент, который может сделать защиту от вымогательских атак более сложной. Поскольку GPO применялся ко всем машинам в домене, на каждом устройстве, на которое заходили пользователи, осуществлялся процесс сбора учетных данных. То есть скрипт мог похитить учетные данные со всех машин компании, если эти машины были подключены к домену, и на них входили пользователи. Эксперты Sophos пишут, что столь масштабная кража учетных данных может привести к последующим атакам, масштабной компрометации различных платформ и сервисов, а также значительно усложнит работу по реагированию на инциденты, создавая долгосрочную угрозу, которая будет сохраняться даже после устранения последствий самой вымогательской атаки. «Успешная компрометация такого рода означает, что защитники должны будут не только изменить все пароли Active Directory, но и (теоретически) потребовать от конечных пользователей изменить все пароли для десятков, а возможно, и сотен сторонних сайтов, для которых они хранили комбинации имени пользователя и пароля в браузере Chrome», — объясняют аналитики.

Теги: Новости, Chrome, Infostealer

Просмотров: 59
Комментариев: 0:   27-08-2024, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: