شوهدت عصابة من برامج الفدية تستخدم تكتيكًا فريدًا للوصول الأولي لاستغلال ثغرة أمنية في أجهزة الصوت عبر بروتوكول الإنترنت (VoIP) لاختراق أنظمة هواتف الشركات، قبل التحول إلى شبكات الشركات لارتكاب هجمات ابتزاز مزدوجة.
اكتشف باحثون من Artic Wolf Labs مجموعة برامج الفدية لورينز استغلال خلل في أجهزة Mitel MiVoice VoIP. الخطأ (تم تتبعه كـ CVE-2022-29499) تم اكتشافه في أبريل وتم تصحيحه بالكامل في يوليو، وهو عبارة عن عيب في تنفيذ التعليمات البرمجية عن بعد (RCE) يؤثر على مكون Mitel Service Appliance في MiVoice Connect.
استغل لورينز الخلل للحصول على غلاف عكسي، وبعد ذلك استفادت المجموعة من Chisel، وهو نفق TCP/UDP سريع قائم على Golang ويتم نقله عبر HTTP، كأداة نفق لاختراق بيئة الشركة. الباحثون في القطب الشمالي وولف قال هذا الاسبوع. الأداة "مفيدة بشكل أساسي للمرور عبر جدران الحماية"، وفقًا لـ صفحة جيثب.
تُظهر الهجمات تطورًا من جانب الجهات الفاعلة في مجال التهديد لاستخدام "أصول أقل شهرة أو مراقبة" للوصول إلى الشبكات وتنفيذ المزيد من الأنشطة الشائنة لتجنب اكتشافها، وفقًا لـ Arctic Wolf.
"في المشهد الحالي، تقوم العديد من المؤسسات بمراقبة الأصول الهامة بشكل مكثف، مثل وحدات التحكم بالمجال وخوادم الويب، ولكنها تميل إلى ترك أجهزة VoIP وأجهزة إنترنت الأشياء (IoT) دون مراقبة مناسبة، مما يمكّن الجهات الفاعلة في مجال التهديد من الحصول على موطئ قدم في البيئة. وكتب الباحثون: “دون أن يتم اكتشافها”.
وقال الباحثون إن هذا النشاط يؤكد حاجة المؤسسات إلى مراقبة جميع الأجهزة التي تواجه الخارج بحثًا عن أي نشاط ضار محتمل، بما في ذلك أجهزة VoIP وIoT.
حدد Mitel CVE-2022-29499 في 19 أبريل وقدم نصًا برمجيًا للإصدارات 19.2 SP3 والإصدارات السابقة، وR14.x والإصدارات السابقة كحل بديل قبل إصدار MiVoice Connect الإصدار R19.3 في يوليو لمعالجة الخلل بالكامل.
تفاصيل الهجوم
Lorenz هي مجموعة من برامج الفدية النشطة منذ فبراير 2021 على الأقل، ومثل العديد من مجموعاتها، تنفذ عمليات ابتزاز مزدوج من ضحاياها عن طريق تسريب البيانات والتهديد بكشفها عبر الإنترنت إذا لم يدفع الضحايا الفدية المطلوبة في إطار زمني معين.
خلال الربع الأخير، استهدفت المجموعة في المقام الأول الشركات الصغيرة والمتوسطة (SMBs) الموجودة في الولايات المتحدة، مع القيم المتطرفة في الصين والمكسيك، وفقًا لـ Arctic Wolf.
وفي الهجمات التي حددها الباحثون، نشأ النشاط الخبيث الأولي من جهاز Mitel الموجود على محيط الشبكة. بمجرد إنشاء الصدفة العكسية، استخدم Lorenz واجهة سطر الأوامر لجهاز Mitel لإنشاء دليل مخفي وشرع في تنزيل ملف ثنائي مجمع من Chisel مباشرة من GitHub، عبر Wget.
وقال الباحثون إن الجهات الفاعلة في مجال التهديد أعادت بعد ذلك تسمية ملف Chisel الثنائي إلى "mem"، وقاموا بفك ضغطه وتنفيذه لإنشاء اتصال مرة أخرى بخادم Chisel الذي يستمع إلى hxxps[://]137.184.181[.]252[:]8443. تخطى Lorenz التحقق من شهادة TLS وقام بتحويل العميل إلى وكيل SOCKS.
ومن الجدير بالذكر أن لورينز انتظر ما يقرب من شهر بعد اختراق شبكة الشركة لإجراء نشاط إضافي لبرامج الفدية، حسبما قال الباحثون. عند العودة إلى جهاز Mitel، تفاعلت جهات التهديد مع غلاف ويب يسمى "pdf_import_export.php". بعد ذلك بوقت قصير، بدأ جهاز Mitel عملية الصد العكسي ونفق Chisel مرة أخرى حتى يتمكن ممثلو التهديد من القفز إلى شبكة الشركة، وفقًا لـ Arctic Wolf.
بمجرد وصوله إلى الشبكة، حصل لورينز على بيانات اعتماد لحسابين مسؤولين متميزين، أحدهما يتمتع بامتيازات المسؤول المحلي والآخر بامتيازات مسؤول المجال، واستخدمهما للتنقل أفقيًا عبر البيئة عبر RDP ومن ثم إلى وحدة تحكم المجال.
وقال الباحثون إنه قبل تشفير الملفات باستخدام BitLocker وLorenz Ransomware على ESXi، قام Lorenz بتسريب البيانات لأغراض الابتزاز المزدوج عبر FileZilla.
تخفيف الهجوم
وللتخفيف من الهجمات التي يمكن أن تستفيد من ثغرة Mitel لإطلاق برامج الفدية أو أنشطة التهديد الأخرى، يوصي الباحثون بأن تقوم المؤسسات بتطبيق التصحيح في أقرب وقت ممكن.
قدم الباحثون أيضًا توصيات عامة لتجنب المخاطر الناجمة عن الأجهزة المحيطة كوسيلة لتجنب المسارات المؤدية إلى شبكات الشركات. وقالوا إن إحدى الطرق للقيام بذلك هي إجراء عمليات فحص خارجية لتقييم بصمة المنظمة وتقوية بيئتها ووضعها الأمني. وأشار الباحثون إلى أن هذا سيسمح للمؤسسات باكتشاف الأصول التي ربما لم يعرفها المسؤولون حتى يمكن حمايتها، بالإضافة إلى المساعدة في تحديد سطح الهجوم الخاص بالمؤسسة عبر الأجهزة المعرضة للإنترنت.
بمجرد تحديد جميع الأصول، يجب على المؤسسات التأكد من عدم تعرض الأصول المهمة مباشرة للإنترنت، وإزالة الجهاز من المحيط إذا لم تكن هناك حاجة إلى وجوده هناك، كما أوصى الباحثون.
كما أوصى Artic Wolf المؤسسات بتشغيل تسجيل الوحدات النمطية، وتسجيل كتلة البرنامج النصي، وتسجيل النسخ، وإرسال السجلات إلى حل تسجيل مركزي كجزء من تكوين تسجيل PowerShell الخاص بها. ويجب عليهم أيضًا تخزين السجلات التي تم التقاطها خارجيًا حتى يتمكنوا من إجراء تحليل جنائي مفصل ضد إجراءات المراوغة التي تقوم بها الجهات التهديدية في حالة وقوع هجوم.
