Qilin勒索病毒新策略：窃取Chrome凭证

关键要点

• Qilin勒索病毒组通过自定义脚本窃取Google Chrome中存储的凭证。
• 攻击开始于利用组织的被攻破VPN凭证，并且缺乏多因素身份验证。
• 该团伙在初始阶段沉寂了18天，随后展开横向移动，通过组策略对象执行PowerShell脚本收集凭证。
• 窃取的凭证被传送到控制服务器，并删除本地副本以掩盖痕迹。
• 加强安全措施，包括实施多因素身份验证(MFA)，限制浏览器中的凭证存储，以及执行最小权限和网络分段以降低风险。

根据的报道，Qilin勒索病毒组推出了一种新战术，他们开始使用自定义脚本来收集存储在Google Chrome中的凭证。

根据SophosX-Ops网络安全研究团队的分析，这次攻击的起点是Qilin通过组织的被破坏的VPN凭证获得网络访问权限，而这些凭证缺乏多因素身份验证。随后，该团伙在潜伏了18天后，可能进行了网络侦察，然后横向移动到域控制器，并利用组策略对象执行了一个PowerShell脚本，从域内所有机器上收集Chrome存储的凭证。窃取的凭证随后被转移到命令和控制服务器，并删除本地副本以掩盖行踪。最后，Qilin部署了其勒索病毒，对被攻陷网络中的数据进行加密。

此轮广泛的凭证盗窃带来了重大风险，可能导致进一步的攻击，并增加了响应的复杂性。 为了降低这种威胁，建议企业实施多因素身份验证(MFA)，限制在浏览器中存储凭证，执行最小权限原则和网络分段等安全措施。