2024年8月22日セキュリティベンダー「Sophos」は、ランサムウェア「Qilin」による侵害調査中に、Google Chromeに保存された認証情報を大量に窃取する攻撃を確認したと発表した。
この攻撃は、Active Directoryのドメインコントローラを経由して、ドメイン参加端末に悪意のあるスクリプトを配布・実行するという高度な手法が使用されていたという。

初期アクセスと攻撃手法

攻撃者は、多要素認証（MFA）が設定されていない脆弱なVPNサーバを経由してネットワークに初期アクセスを取得する。
その後、侵害された資格情報を悪用し、Active Directoryのドメインコントローラに侵入し、ドメインコントローラのデフォルトのドメインポリシーを編集し、悪意のあるスクリプトを配布していたとのこと。
配布されたスクリプトは、PowerShellスクリプト「IPScanner.ps1」とバッチスクリプト「logon.bat」の2つ。
IPScanner.ps1はChromeに保存された認証情報を収集する機能を持ち、logon.batはユーザーが端末にログオンするたびにIPScanner.ps1を実行する。
これらの攻撃により、端末にログオンするすべてのユーザーの認証情報が収集され、攻撃者に送信されていたという。
攻撃者は収集した認証情報を窃取した後、関連するすべてのファイルを削除し、ドメインコントローラおよびドメイン参加端末のイベントログを消去。
その後、ランサムウェアを使いファイルの暗号化と、身代金要求を実行している。

被害と対策

確認された攻撃では、侵害されたドメイン参加端末にログオンしたすべての従業員が影響を受けるとされており、特にChromeに認証情報を保存していた場合はすべての認証情報を更新する必要があるという。
Nord Securityが提供しているパスワードマネージャー「NordPass」による調査では、平均的な従業員は業務関連で87個、個人用で168個のパスワードを保有しているとされており、被害に遭った従業員は数百のパスワードを変更する必要があるとみられている。
Sophosは、ブラウザに搭載されたパスワードマネージャーの使用を中止し、信頼できるサードパーティ製のパスワードマネージャーを使用することを強く推奨している。
また、企業にはMFAの導入を進め、脆弱なVPNサーバのセキュリティを強化することが求められている。

【参考記事】
Qilin ransomware caught stealing credentials stored in Google Chrome
https://news.sophos.com/en-us/2024/08/22/qilin-ransomware-caught-stealing-credentials-stored-in-google-chrome/