Το Qilin Ransomware απαριθμεί το ιστορικό ελέγχου ταυτότητας RDP σε έναν παραβιασμένο διακομιστή

Το Qilin ransomware είναι μία από τις πιο ενεργές και επιζήμιες απειλές στο τοπίο του κυβερνοχώρου σήμερα.

Η ομάδα εξελίσσει σταθερά τις τακτικές της από τότε που εμφανίστηκε για πρώτη φορά το 2022 και η τελευταία της τεχνική απαρίθμησης του ιστορικού ελέγχου ταυτότητας του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) σε παραβιασμένους διακομιστές της δίνει έναν γρήγορο, ήσυχο τρόπο να χαρτογραφήσει ένα δίκτυο και να βρει τον επόμενο στόχο.

Το Qilin, γνωστό και ως Agenda, είναι μια ομάδα Ransomware-as-a-Service (RaaS) που πιστεύεται ότι εδρεύει στη Ρωσία. Όταν πρωτοεμφανίστηκε τον Ιούλιο του 2022, τράβηξε λίγη προσοχή.

Μέχρι το 2023, η ομάδα είχε αρχίσει να ανεβάζει ρυθμούς, διεκδικώντας 45 επιθέσεις και ξεκινώντας εκστρατείες εναντίον κρίσιμων τομέων όπως η υγειονομική περίθαλψη, η μεταποίηση, τα οικονομικά και οι κυβερνητικές υπηρεσίες.

Μέχρι το 2025, το Qilin είχε ήδη ξεπεράσει τις 700 επιβεβαιωμένες επιθέσεις σε ένα μόνο έτος, καθιστώντας το έναν από τους πιο παραγωγικούς χειριστές ransomware που έχουν καταγραφεί.

Στα θύματα περιλαμβάνονται νοσοκομεία του NHS στο Λονδίνο και κυβερνητικά συστήματα κομητείας στις Ηνωμένες Πολιτείες, δείχνοντας ότι κανένας τομέας δεν είναι ασφαλής.

Η ομάδα συνήθως αποκτά αρχική πρόσβαση μέσω email ψαρέματος (spearphishing), εκμετάλλευσης γνωστών τρωτών σημείων λογισμικού ή με κατάχρηση εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης (RMM).

Μόλις εισέλθουν σε ένα δίκτυο, οι εισβολείς εστιάζουν στην αθόρυβη επέκταση της εμβέλειάς τους, χρησιμοποιώντας τεχνικές που ζουν εκτός της γης που συνδυάζονται με την κανονική δραστηριότητα του συστήματος για να αποφύγουν την ενεργοποίηση ειδοποιήσεων.

Το Qilin χρησιμοποιεί επίσης διπλό εκβιασμό, πράγμα που σημαίνει ότι η ομάδα κρυπτογραφεί δεδομένα ενώ επίσης απειλεί να τα διαρρεύσει δημόσια εάν δεν ικανοποιηθεί η απαίτηση για λύτρα, ασκώντας τεράστια πίεση στα θύματα να συμμορφωθούν.

Ο Maurice Fielenbach, Ερευνητής Ασφάλειας Πληροφοριών στο Hexastrike, εντόπισε πρόσφατα μια ιδιαίτερα έντονη κίνηση αναγνώρισης από χειριστές Qilin σε έναν παραβιασμένο διακομιστή.

Η παρατήρησή του τόνισε πώς η ομάδα χρησιμοποίησε μια εντολή PowerShell για να τραβήξει κάθε Αναγνωριστικό συμβάντος 1149 από το αρχείο καταγραφής Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.

Αυτό το μεμονωμένο ερώτημα έδωσε στους εισβολείς έναν σαφή χάρτη του ποιοι λογαριασμοί χρησιμοποιούσαν RDP στον κεντρικό υπολογιστή, ποια συστήματα πελατών ήταν συνδεδεμένα σε αυτόν και ποιοι λογαριασμοί εμφανίζονταν αρκετά προνομιούχοι ώστε να αξίζει να στοχεύσετε στη συνέχεια. Το σενάριο παραδόθηκε μέσω μιας απατεώνων εγκατάστασης ScreenConnect κατά τη διάρκεια της εισβολής.

Αυτό που κάνει αυτή τη συμπεριφορά να ξεχωρίζει είναι το πόσο λίγο θόρυβο δημιουργεί. Αντί να εκτελείτε δυνατές σαρώσεις δικτύου ή εργαλεία απαρίθμησης της υπηρεσίας καταλόγου Active Directory Τα συστήματα ασφαλείας είναι κατασκευασμένα για να ανιχνεύουν, το Qilin χρησιμοποίησε έναν ενσωματωμένο μηχανισμό καταγραφής των Windows για να συγκεντρώσει όλα τα δεδομένα αναγνώρισης που χρειαζόταν.

Είναι μια υπολογισμένη κίνηση που αντανακλά μια ευρύτερη αλλαγή στον τρόπο με τον οποίο οι ομάδες ransomware προσεγγίζουν το stealth πριν από την κρυπτογράφηση.

Η απαρίθμηση RDP ως Στρατηγική πλευρικής κίνησης

Η τεχνική απαρίθμησης ελέγχου ταυτότητας RDP που χρησιμοποίησε η Qilin βρίσκεται στο κέντρο της στρατηγικής της πλευρικής κίνησης.

Υποβάλλοντας ερώτημα για το Αναγνωριστικό συμβάντος 1149, το οποίο καταγράφει πότε λαμβάνεται ένα αίτημα σύνδεσης απομακρυσμένης επιφάνειας εργασίας, οι εισβολείς εξήγαγαν ονόματα χρηστών, ονόματα τομέα και τους υπολογιστές-πελάτες προέλευσης που εμπλέκονται σε κάθε περίοδο λειτουργίας.

Σε μια εντολή, δημιούργησαν μια λίστα με προτεραιότητα λογαριασμών που αξίζει να στοχεύσετε για περαιτέρω συμβιβασμό.

Αυτή η προσέγγιση είναι ιδιαίτερα αποτελεσματική επειδή το Αναγνωριστικό συμβάντος 1149 βρίσκεται στο αρχείο καταγραφής λειτουργίας RemoteConnectionManager αντί στο κύριο αρχείο καταγραφής συμβάντων ασφαλείας.

Πολλοί οργανισμοί δεν προωθούν αυτό το αρχείο καταγραφής στο σύστημα διαχείρισης πληροφοριών ασφαλείας και συμβάντων (SIEM) ή απλώς το αντιμετωπίζουν ως χαμηλής προτεραιότητας. Αυτό το κενό δίνει στους επιτιθέμενους ένα ήσυχο παράθυρο για να συγκεντρώσουν πολύτιμες πληροφορίες.

Είναι επίσης σημαντικό να σημειωθεί ότι το Αναγνωριστικό συμβάντος 1149 δεν επιβεβαιώνει από μόνο του μια επιτυχημένη σύνδεση RDP. Καταγράφει μόνο ότι ελήφθη ένα αίτημα σύνδεσης.

Η συσχέτισή του με το Αναγνωριστικό συμβάντος 4624 από το αρχείο καταγραφής ασφαλείας ή με καταχωρίσεις από το αρχείο καταγραφής Local Session Manager είναι απαραίτητη για την επαλήθευση των πραγματικών επιτυχημένων συνδέσεων.

Συνιστάται στις ομάδες ασφαλείας να ενεργοποιήσουν PowerShell ScriptBlock Καταγραφή σε ολόκληρο το περιβάλλον τους, καθώς δεν υπάρχει νόμιμος λόγος για μια μη διαχειριστική διαδικασία για την εκτέλεση αυτού του τύπου ερωτήματος απαρίθμησης RDP.

Οι οργανισμοί θα πρέπει επίσης να παρακολουθούν για μη εξουσιοδοτημένες εγκαταστάσεις εργαλείων απομακρυσμένης πρόσβασης όπως το ScreenConnect, το AnyDesk, το Atera ή το Total Software Deployment σε οποιονδήποτε παραβιασμένο κεντρικό υπολογιστή.

Η παρακολούθηση συμβάντων παραβίασης του Windows Defender μαζί με αυτούς τους δείκτες προσθέτει ένα άλλο ισχυρό επίπεδο ανίχνευσης. Μαζί, αυτά τα σήματα που παρατηρούνται τις ώρες πριν από την έναρξη της κρυπτογράφησης μπορούν να χρησιμεύσουν ως αξιόπιστο δακτυλικό αποτύπωμα μιας ενεργής εισβολής Qilin.