কর্পোরেট ফোন সিস্টেম লঙ্ঘন করার জন্য ভয়েস-ওভার-আইপি (ভিওআইপি) অ্যাপ্লায়েন্সে দুর্বলতাকে কাজে লাগানোর জন্য একটি র্যানসমওয়্যার গ্যাংকে একটি অনন্য প্রাথমিক-অ্যাক্সেস কৌশল ব্যবহার করতে দেখা গেছে, কর্পোরেট নেটওয়ার্কগুলিতে ডবল-চাঁদাবাজি আক্রমণ করার আগে।
আর্টিক উলফ ল্যাবসের গবেষকরা এটি দেখেছেন লরেঞ্জ র্যানসমওয়্যার গ্রুপ Mitel MiVoice ভিওআইপি অ্যাপ্লায়েন্সে একটি ত্রুটি শোষণ করা। বাগ (এভাবে ট্র্যাক করা হয়েছে জন্য CVE-2022-29499) এপ্রিল মাসে আবিষ্কৃত হয়েছিল এবং জুলাই মাসে সম্পূর্ণভাবে প্যাচ করা হয়েছিল, এবং এটি একটি রিমোট কোড এক্সিকিউশন (RCE) ত্রুটি যা MiVoice Connect-এর Mitel Service Appliance উপাদানকে প্রভাবিত করে৷
লরেঞ্জ একটি বিপরীত শেল পাওয়ার জন্য ত্রুটিটি কাজে লাগিয়েছিল, তারপরে গ্রুপ চিসেল, একটি গোলং-ভিত্তিক ফাস্ট টিসিপি/ইউডিপি টানেল যা HTTP এর মাধ্যমে পরিবহন করা হয়, কর্পোরেট পরিবেশ লঙ্ঘন করার জন্য একটি টানেলিং টুল হিসাবে ব্যবহার করে, আর্কটিক নেকড়ে গবেষকরা এই সপ্তাহে বলেন. টুলটি "ফায়ারওয়ালের মধ্য দিয়ে যাওয়ার জন্য প্রধানত উপযোগী," অনুসারে GitHub পৃষ্ঠা.
আর্কটিক উলফের মতে, আক্রমণগুলি নেটওয়ার্ক অ্যাক্সেস করার জন্য "কম পরিচিত বা নিরীক্ষণ করা সম্পদ" ব্যবহার করার জন্য হুমকি অভিনেতাদের দ্বারা একটি বিবর্তন দেখায় এবং সনাক্তকরণ এড়াতে আরও ঘৃণ্য কার্যকলাপ সম্পাদন করে।
“বর্তমান ল্যান্ডস্কেপে, অনেক সংস্থাই ডোমেইন কন্ট্রোলার এবং ওয়েব সার্ভারের মতো গুরুত্বপূর্ণ সম্পদগুলিকে ব্যাপকভাবে নিরীক্ষণ করে, কিন্তু যথাযথ পর্যবেক্ষণ ছাড়াই ভিওআইপি ডিভাইস এবং ইন্টারনেট অফ থিংস (IoT) ডিভাইসগুলিকে ছেড়ে দেওয়ার প্রবণতা রাখে, যা হুমকি অভিনেতাদের পরিবেশে পা রাখতে সক্ষম করে। সনাক্ত করা ছাড়া," গবেষকরা লিখেছেন।
ক্রিয়াকলাপটি ভিওআইপি এবং আইওটি ডিভাইস সহ সম্ভাব্য দূষিত কার্যকলাপের জন্য সমস্ত বাহ্যিক মুখোমুখি ডিভাইসগুলিকে নিরীক্ষণ করার জন্য উদ্যোগগুলির প্রয়োজনীয়তার উপর জোর দেয়, গবেষকরা বলেছেন।
Mitel 2022 এপ্রিল CVE-29499-19 শনাক্ত করেছে এবং ত্রুটিটি সম্পূর্ণরূপে প্রতিকার করার জন্য জুলাই মাসে MiVoice Connect সংস্করণ R19.2 প্রকাশ করার আগে 3 SP14 এবং তার আগের, এবং R19.3.x এবং তার আগের রিলিজের জন্য একটি স্ক্রিপ্ট প্রদান করেছে।
আক্রমণের বিবরণ
লরেঞ্জ হল একটি র্যানসমওয়্যার গ্রুপ যেটি অন্তত ফেব্রুয়ারী 2021 সাল থেকে সক্রিয় রয়েছে এবং এর অনেক দলের মতই পারফর্ম করে দ্বিগুণ চাঁদাবাজি ভুক্তভোগীদের তথ্য উত্তোলন করে এবং ভুক্তভোগীরা একটি নির্দিষ্ট সময়ের মধ্যে কাঙ্খিত মুক্তিপণ পরিশোধ না করলে অনলাইনে তা প্রকাশ করার হুমকি দেয়।
আর্কটিক উলফের মতে, গত ত্রৈমাসিকে, গ্রুপটি প্রাথমিকভাবে মার্কিন যুক্তরাষ্ট্রে অবস্থিত ছোট এবং মাঝারি ব্যবসা (এসএমবি) লক্ষ্য করেছে, চীন এবং মেক্সিকোতে বহিরাগতদের সাথে।
গবেষকরা যে আক্রমণগুলি চিহ্নিত করেছেন, প্রাথমিক দূষিত কার্যকলাপ নেটওয়ার্ক পরিধিতে বসে থাকা একটি মিটেল যন্ত্র থেকে উদ্ভূত হয়েছিল। একবার একটি বিপরীত শেল স্থাপন করার পরে, লরেঞ্জ একটি লুকানো ডিরেক্টরি তৈরি করতে Mitel ডিভাইসের কমান্ড লাইন ইন্টারফেস ব্যবহার করে এবং Wget এর মাধ্যমে GitHub থেকে সরাসরি চিসেলের একটি সংকলিত বাইনারি ডাউনলোড করতে এগিয়ে যান।
থ্রেট অ্যাক্টররা তারপর চিসেল বাইনারিটির নাম পরিবর্তন করে "মেম" রাখে, এটি আনজিপ করে এবং hxxps[://]137.184.181[.]252[:]8443 এ শোনা চিসেল সার্ভারের সাথে সংযোগ স্থাপনের জন্য এটি কার্যকর করে। Lorenz TLS শংসাপত্র যাচাইকরণ এড়িয়ে গেছে এবং ক্লায়েন্টকে একটি SOCKS প্রক্সিতে পরিণত করেছে৷
এটি লক্ষণীয় যে লরেঞ্জ অতিরিক্ত র্যানসমওয়্যার কার্যকলাপ পরিচালনা করার জন্য কর্পোরেট নেটওয়ার্ক লঙ্ঘনের পরে প্রায় এক মাস অপেক্ষা করেছিলেন, গবেষকরা বলেছেন। Mitel ডিভাইসে ফিরে আসার পর, হুমকি অভিনেতারা "pdf_import_export.php" নামে একটি ওয়েব শেল এর সাথে যোগাযোগ করেছিল। এর কিছুক্ষণ পরে, মিটেল ডিভাইসটি আবার একটি বিপরীত শেল এবং চিসেল টানেল শুরু করে যাতে হুমকি অভিনেতারা কর্পোরেট নেটওয়ার্কে ঝাঁপ দিতে পারে, আর্কটিক ওল্ফের মতে।
একবার নেটওয়ার্কে, লরেঞ্জ দুটি বিশেষাধিকারপ্রাপ্ত অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টের জন্য শংসাপত্র পেয়েছিলেন, একটি স্থানীয় প্রশাসক বিশেষাধিকার সহ এবং একটি ডোমেন প্রশাসক বিশেষাধিকার সহ, এবং সেগুলিকে পরিবেশের মধ্য দিয়ে RDP এর মাধ্যমে এবং পরবর্তীতে একটি ডোমেন কন্ট্রোলারে যেতে ব্যবহার করেছিলেন।
ESXi তে BitLocker এবং Lorenz ransomware ব্যবহার করে ফাইল এনক্রিপ্ট করার আগে, Lorenz ফাইলজিলার মাধ্যমে ডাবল-চাঁদাবাজির উদ্দেশ্যে ডেটা বের করে দিয়েছে, গবেষকরা বলেছেন।
আক্রমণ প্রশমন
র্যানসমওয়্যার বা অন্যান্য হুমকি কার্যকলাপ চালু করার জন্য মাইটেল ত্রুটির সুবিধা নিতে পারে এমন আক্রমণগুলি প্রশমিত করার জন্য, গবেষকরা সুপারিশ করেন যে সংস্থাগুলি যত তাড়াতাড়ি সম্ভব প্যাচ প্রয়োগ করুন।
গবেষকরা কর্পোরেট নেটওয়ার্কের পথ এড়ানোর উপায় হিসাবে ঘের ডিভাইস থেকে ঝুঁকি এড়াতে সাধারণ সুপারিশও করেছেন। এটি করার একটি উপায় হল একটি প্রতিষ্ঠানের পদচিহ্ন মূল্যায়ন করতে এবং এর পরিবেশ এবং নিরাপত্তা ভঙ্গি কঠোর করার জন্য বাহ্যিক স্ক্যান করা, তারা বলেছে। এটি এন্টারপ্রাইজগুলিকে সম্পদগুলি আবিষ্কার করার অনুমতি দেবে যেগুলি সম্পর্কে প্রশাসকরা হয়তো জানেন না যাতে তারা সুরক্ষিত হতে পারে, সেইসাথে ইন্টারনেটের সংস্পর্শে থাকা ডিভাইস জুড়ে একটি সংস্থার আক্রমণের পৃষ্ঠকে সংজ্ঞায়িত করতে সহায়তা করে, গবেষকরা উল্লেখ করেছেন।
একবার সমস্ত সম্পদ শনাক্ত হয়ে গেলে, সংস্থাগুলিকে নিশ্চিত করা উচিত যে সমালোচনামূলকগুলি সরাসরি ইন্টারনেটের সংস্পর্শে না আসে, যদি সেখানে থাকার প্রয়োজন না হয় তবে একটি ডিভাইসকে ঘের থেকে সরিয়ে ফেলা, গবেষকরা সুপারিশ করেছেন।
Artic Wolf এছাড়াও সুপারিশ করেছে যে সংস্থাগুলি মডিউল লগিং, স্ক্রিপ্ট ব্লক লগিং, এবং ট্রান্সক্রিপশন লগিং চালু করে এবং তাদের PowerShell লগিং কনফিগারেশনের অংশ হিসাবে একটি কেন্দ্রীভূত লগিং সমাধানে লগ পাঠায়। তাদের ক্যাপচার করা লগগুলিকে বাহ্যিকভাবে সঞ্চয় করা উচিত যাতে তারা আক্রমণের ক্ষেত্রে হুমকি অভিনেতাদের দ্বারা ফাঁকিমূলক কর্মের বিরুদ্ধে বিস্তারিত ফরেনসিক বিশ্লেষণ করতে পারে।
