Qilin ランサムウェアの不可思議な行動:攻撃前に Google Chrome の認証情報を盗み出す

Qilin ransomware steals credentials stored in Google Chrome

2024/08/23 SecurityAffairs — Qilin ランサムウェアによる攻撃を、Sophos の研究者たちが調査した。この攻撃では、侵害した少数のエンドポイントの Google Chrome ブラウザから、ランサムウェアのオペレーターが認証情報を盗み出している。認証情報の収集活動については、通常のランサムウェア感染とは無関係であると、専門家たちは指摘している。


Qilin ランサムウェア・グループは、遅くとも 2022年から活動しているが、英国政府の医療サービス・プロバイダーである Synnovis を、2024年6 月に攻撃したことで注目を集めている。このグループにおける通常のパターンは二重恐喝であり、被害者のデータを盗んで暗号化すると同時に、身代金を支払わなければデータを公開すると脅すものだ。2024年7月に Sophos のインシデント対応チームは、ある組織の Active Directory ドメイン内のドメイン・コントローラーで、Qilin が活動していることを確認した。また、他のドメイン・コントローラーも感染していたが、影響は異なっていたという。

この脅威アクターは、多要素認証 (MFA) のない VPN ポータルの認証情報を侵害して、組織のネットワークに侵入した。続いて脅威アクターは、最初のアクセスから 18日後に、ポスト・エクスプロイト活動を開始した。

Sophos のレポートには、「この攻撃者は、標的とするドメイン・コントローラに到達すると、デフォルトのドメイン・ポリシーを編集して、2つの項目を含むログオン・ベースの Group Policy Object (GPO) を取り入れた。1つ目の項目である “IPScanner.ps1” という PowerShell スクリプトは、関係するドメイン・コントローラの SYSVOL (SYStem VOLume) 共有 内の一時ディレクトリに書き込まれました。このディレクトリは、Active Directory ドメイン内の各ドメイン・コントローラに存在する、共有の NTFS ディレクトリである。さらに “IPScanner.ps1” には、Chrome ブラウザ内に保存されている認証情報データを収集するための、19 行のスクリプトが含まれていた」と、記されている。

さらに、このレポートは、「2 番目の項目である “logon.bat” というバッチ・スクリプトには、1つ目のスクリプトを実行するコマンドが含まれていた。この組み合わせにより、ネットワークに接続されたマシンの、Chrome ブラウザに保存されている認証情報が収集された。これらの2つのスクリプトは、ログオン Group Policy Object (GPO) 内に存在するため、ログインを試行する各クライアント・マシンで実行できる」と続けている。

Qilin のオペレーターは、Group Policy Object (GPO) を利用して、ユーザーがエンドポイントにログインするたびに、スクリプト “IPScanner.ps1” を実行する。このスクリプトは、SQLite データベース (LD) とテキスト ログ (temp.log) の2つのファイルを作成し、ドメインの SYSVOL 共有に保存するが、それらのファイルは感染させたデバイスのホスト名に準じて名付けられていた。

攻撃者は、この GPO を3日間以上にわたりアクティブにし、ユーザーがログインするたびに認証情報を秘密裏に収集していた。そして、認証情報を盗み出した後の、ランサムウェアを展開する前に、この攻撃者は、痕跡を隠すためにファイルとイベント・ログを削除した。最終的に攻撃者は、別の GPO を使用してランサムウェアの実行をスケジュールし、感染させたマシンの全ディレクトリに身代金要求メモを残した。

この Qilin 亜種ランサムウェア攻撃の被害者が、ユーザーに対して警告すべきことは、すべての Active Directory パスワードをリセットし、Chrome ブラウザに保存されているサイトのパスワードを変更することだ。

Sophos は、「私たちが予想したとおりに、このランサムウェア・グループは戦術を変え続け、手法のレパートリーを拡大している。Qilin ランサムウェア・グループには、標的組織のネットワーク資産を狙うだけでは、チャンスを逃すと判断した可能性がある。彼らが、エンドポイントに保存された認証情報も収集した背景には、次の標的への足掛かりを得るという可能性と、高価値ターゲットの大量の情報を販売するという可能性がある。つまり、このサイバー犯罪の進行中に、新たな侵害のパターンが発生した可能性がある」と締め括っている。

この Qilin は、ランサムウェアでありインフォスティーラーでもあるという、独自のポジションの確立を目指しているようです。いったん侵害したならば、やれることは全部やっておこうという貪欲さを感じますが、それを可能にするだけの検知回避の能力を持っているのでしょう。ちなみに、Qilin は “麒麟” を指すようです。よろしければ、カテゴリ Ransomware も、ご利用ください。