En ransomware-bande er blevet set bruge en unik taktik for indledende adgang til at udnytte en sårbarhed i voice-over-IP (VoIP)-apparater til at bryde virksomhedens telefonsystemer, før de pivoterer til virksomhedens netværk for at begå dobbeltafpresningsangreb.
Forskere fra Artic Wolf Labs har set Lorenz ransomware gruppe udnyttelse af en fejl i Mitel MiVoice VoIP-apparater. Fejlen (spores som CVE-2022-29499) blev opdaget i april og fuldstændigt rettet i juli, og er en fejl ved fjernudførelse af kode (RCE), der påvirker Mitel Service Appliance-komponenten i MiVoice Connect.
Lorenz udnyttede fejlen til at opnå en omvendt shell, hvorefter gruppen udnyttede Chisel, en Golang-baseret hurtig TCP/UDP-tunnel, der transporteres over HTTP, som et tunnelværktøj til at bryde virksomhedens miljø, Arctic Wolf forskere sagde i denne uge. Værktøjet er "hovedsagelig nyttigt til at passere gennem firewalls," ifølge GitHub side.
Angrebene viser en udvikling af trusselsaktører til at bruge "mindre kendte eller overvågede aktiver" til at få adgang til netværk og udføre yderligere slem aktivitet for at undgå opdagelse, ifølge Arctic Wolf.
"I det nuværende landskab overvåger mange organisationer stærkt kritiske aktiver, såsom domænecontrollere og webservere, men har en tendens til at efterlade VoIP-enheder og Internet of Things (IoT)-enheder uden ordentlig overvågning, hvilket gør det muligt for trusselsaktører at få fodfæste i et miljø uden at blive opdaget,” skrev forskerne.
Aktiviteten understreger behovet for, at virksomheder overvåger alle eksternt vendte enheder for potentiel ondsindet aktivitet, herunder VoIP- og IoT-enheder, sagde forskere.
Mitel identificerede CVE-2022-29499 den 19. april og leverede et script til udgivelser 19.2 SP3 og tidligere, og R14.x og tidligere som en løsning, før MiVoice Connect version R19.3 blev frigivet i juli for fuldt ud at afhjælpe fejlen.
Angrebsdetaljer
Lorenz er en ransomware-gruppe, der har været aktiv siden mindst februar 2021, og som mange af dens kohorter optræder dobbelt afpresning af sine ofre ved at eksfiltrere data og true med at afsløre dem online, hvis ofrene ikke betaler den ønskede løsesum inden for en bestemt tidsramme.
I løbet af det sidste kvartal har gruppen primært rettet sig mod små og mellemstore virksomheder (SMB'er) placeret i USA, med outliers i Kina og Mexico, ifølge Arctic Wolf.
I de angreb, som forskere identificerede, stammede den første ondsindede aktivitet fra et Mitel-apparat, der sad på netværkets omkreds. Da Lorenz først havde etableret en omvendt shell, brugte han Mitel-enhedens kommandolinjegrænseflade til at oprette en skjult mappe og fortsatte med at downloade en kompileret binær af Chisel direkte fra GitHub via Wget.
Trusselsaktører omdøbte derefter Chisel-binæren til "mem", pakkede den ud og udførte den for at etablere en forbindelse tilbage til en Chisel-server, der lyttede til hxxps[://]137.184.181[.]252[:]8443, sagde forskere. Lorenz sprang TLS-certifikatbekræftelse over og gjorde klienten til en SOCKS-proxy.
Det er værd at bemærke, at Lorenz ventede næsten en måned efter at have brudt virksomhedens netværk med at udføre yderligere ransomware-aktivitet, sagde forskere. Da de vendte tilbage til Mitel-enheden, interagerede trusselsaktører med en web-shell ved navn "pdf_import_export.php." Kort efter startede Mitel-enheden en omvendt skal og mejseltunnel igen, så trusselsaktører kunne hoppe ind på virksomhedens netværk, ifølge Arctic Wolf.
Da Lorenz først var på netværket, opnåede Lorenz legitimationsoplysninger til to privilegerede administratorkonti, en med lokale administratorrettigheder og en med domæneadministratorrettigheder, og brugte dem til at bevæge sig sideværts gennem miljøet via RDP og efterfølgende til en domænecontroller.
Før kryptering af filer ved hjælp af BitLocker og Lorenz ransomware på ESXi, eksfiltrerede Lorenz data til dobbeltafpresningsformål via FileZilla, sagde forskere.
Afbødning af angreb
For at afbøde angreb, der kan udnytte Mitel-fejlen til at lancere ransomware eller anden trusselaktivitet, anbefaler forskere, at organisationer anvender patchen så hurtigt som muligt.
Forskere fremsatte også generelle anbefalinger for at undgå risiko fra perimeterenheder som en måde at undgå veje til virksomhedsnetværk. En måde at gøre dette på er at udføre eksterne scanninger for at vurdere en organisations fodaftryk og hærde dens miljø og sikkerhedsstilling, sagde de. Dette vil give virksomheder mulighed for at opdage aktiver, som administratorer måske ikke har kendt til, så de kan beskyttes, samt hjælpe med at definere en organisations angrebsoverflade på tværs af enheder, der er udsat for internettet, bemærkede forskere.
Når alle aktiver er identificeret, bør organisationer sikre, at kritiske aktiver ikke er direkte udsat for internettet, og fjerne en enhed fra omkredsen, hvis den ikke behøver at være der, anbefalede forskere.
Artic Wolf anbefalede også organisationer at slå modullogning, scriptbloklogning og transkriptionslogning til og sende logfiler til en centraliseret logningsløsning som en del af deres PowerShell-logningskonfiguration. De bør også opbevare opfangede logfiler eksternt, så de kan udføre detaljerede retsmedicinske analyser mod undvigende handlinger fra trusselsaktører i tilfælde af et angreb.
