Qilin勒索病毒新策略：窃取Chrome凭证

关键要点

Qilin勒索病毒组通过自定义脚本窃取Google Chrome中存储的凭证。攻击开始于利用组织的被攻破VPN凭证，并且缺乏多因素身份验证。该团伙在初始阶段沉寂了18天，随后展开横向移动，通过组策略对象执行PowerShell脚本收集凭证。窃取的凭证被传送到控制服务器，并删除本地副本以掩盖痕迹。加强安全措施，包括实施多因素身份验证(MFA)，限制浏览器中的凭证存储，以及执行最小权限和网络分段以降低风险。

根据BleepingComputer的报道，Qilin勒索病毒组推出了一种新战术，他们开始使用自定义脚本来收集存储在Google Chrome中的凭证。

根据Sophos XOps网络安全研究团队的分析，这次攻击的起点是Qilin通过组织的被破坏的VPN凭证获得网络访问权限，而这些凭证缺乏多因素身份验证。随后，该团伙在潜伏了18天后，可能进行了网络侦察，然后横向移动到域控制器，并利用组策略对象执行了一个PowerShell脚本，从域内所有机器上收集Chrome存储的凭证。窃取的凭证随后被转移到命令和控制服务器，并删除本地副本以掩盖行踪。最后，Qilin部署了其勒索病毒，对被攻陷网络中的数据进行加密。

关键环节描述初始攻击方式利用被攻破的VPN凭证进入网络沉寂期潜伏18天进行网络侦察凭证获取方法通过PowerShell脚本提取存储在Chrome中的凭证数据处理窃取凭证至控制服务器并删除本地副本最终结果部署勒索病毒加密网络数据

此轮广泛的凭证盗窃带来了重大风险，可能导致进一步的攻击，并增加了响应的复杂性。 为了降低这种威胁，建议企业实施多因素身份验证(MFA)，限制在浏览器中存储凭证，执行最小权限原则和网络分段等安全措施。

免费加速器梯子