Es wurde beobachtet, dass eine Ransomware-Bande eine einzigartige Initial-Access-Taktik anwendet, um eine Schwachstelle in Voice-over-IP (VoIP)-Appliances auszunutzen, um Unternehmenstelefonsysteme zu durchbrechen, bevor sie sich auf Unternehmensnetzwerke ausrichtet, um doppelte Erpressungsangriffe durchzuführen.
Forscher von Artic Wolf Labs haben das entdeckt Lorenz Ransomware-Gruppe Ausnutzung eines Fehlers in Mitel MiVoice VoIP-Appliances. Der Fehler (verfolgt als CVE-2022-29499) wurde im April entdeckt und im Juli vollständig gepatcht und ist ein RCE-Fehler (Remote Code Execution), der die Mitel Service Appliance-Komponente von MiVoice Connect betrifft.
Lorenz nutzte den Fehler aus, um eine Reverse-Shell zu erhalten, woraufhin die Gruppe Chisel, einen Golang-basierten schnellen TCP/UDP-Tunnel, der über HTTP transportiert wird, als Tunneling-Tool nutzte, um die Unternehmensumgebung zu durchbrechen. Forscher des Polarwolfs sagte diese Woche. Das Tool sei „hauptsächlich nützlich, um Firewalls zu passieren“, so die GitHub Seite.
Die Angriffe zeigen eine Entwicklung von Bedrohungsakteuren, die „weniger bekannte oder überwachte Assets“ verwenden, um auf Netzwerke zuzugreifen und weitere schändliche Aktivitäten durchzuführen, um einer Entdeckung zu entgehen, so Arctic Wolf.
„In der aktuellen Landschaft überwachen viele Organisationen kritische Assets wie Domänencontroller und Webserver intensiv, neigen jedoch dazu, VoIP-Geräte und Geräte für das Internet der Dinge (IoT) ohne angemessene Überwachung zu lassen, was es Bedrohungsakteuren ermöglicht, in einer Umgebung Fuß zu fassen ohne entdeckt zu werden“, schrieben die Forscher.
Die Aktivität unterstreicht die Notwendigkeit für Unternehmen, alle nach außen gerichteten Geräte auf potenzielle böswillige Aktivitäten zu überwachen, einschließlich VoIP- und IoT-Geräte, so die Forscher.
Mitel identifizierte CVE-2022-29499 am 19. April und stellte ein Skript für die Versionen 19.2 SP3 und früher sowie R14.x und früher als Workaround bereit, bevor es im Juli MiVoice Connect Version R19.3 veröffentlichte, um den Fehler vollständig zu beheben.
Angriffsdetails
Lorenz ist eine Ransomware-Gruppe, die mindestens seit Februar 2021 aktiv ist und wie viele ihrer Kohorten erfolgreich ist doppelte Erpressung seiner Opfer, indem es Daten exfiltriert und droht, sie online preiszugeben, wenn die Opfer das gewünschte Lösegeld nicht innerhalb eines bestimmten Zeitrahmens zahlen.
Im letzten Quartal hat die Gruppe laut Arctic Wolf hauptsächlich kleine und mittlere Unternehmen (KMU) in den Vereinigten Staaten ins Visier genommen, mit Ausreißern in China und Mexiko.
Bei den von den Forschern identifizierten Angriffen ging die anfängliche böswillige Aktivität von einer Mitel-Appliance aus, die sich am Netzwerkperimeter befand. Nach dem Einrichten einer Reverse-Shell nutzte Lorenz die Befehlszeilenschnittstelle des Mitel-Geräts, um ein verstecktes Verzeichnis zu erstellen, und fuhr fort, eine kompilierte Binärdatei von Chisel direkt von GitHub über Wget herunterzuladen.
Bedrohungsakteure benannten die Chisel-Binärdatei dann in „mem“ um, entpackten sie und führten sie aus, um eine Verbindung zurück zu einem Chisel-Server herzustellen, der hxxps[://]137.184.181[.]252[:]8443 abhört, sagten Forscher. Lorenz hat die Überprüfung des TLS-Zertifikats übersprungen und den Client in einen SOCKS-Proxy umgewandelt.
Es ist erwähnenswert, dass Lorenz nach dem Eindringen in das Unternehmensnetzwerk fast einen Monat gewartet hat, um weitere Ransomware-Aktivitäten durchzuführen, sagten Forscher. Bei der Rückkehr zum Mitel-Gerät interagierten Angreifer mit einer Web-Shell namens „pdf_import_export.php“. Kurz danach startete das Mitel-Gerät erneut einen Reverse-Shell- und Chisel-Tunnel, damit Angreifer laut Arctic Wolf in das Unternehmensnetzwerk einsteigen konnten.
Sobald Lorenz im Netzwerk war, erhielt er Anmeldeinformationen für zwei privilegierte Administratorkonten, eines mit lokalen Administratorrechten und eines mit Domänenadministratorrechten, und benutzte sie, um sich lateral über RDP durch die Umgebung und anschließend zu einem Domänencontroller zu bewegen.
Vor der Verschlüsselung von Dateien mit BitLocker und Lorenz-Ransomware auf ESXi hat Lorenz Daten für doppelte Erpressungszwecke über FileZilla exfiltriert, sagten Forscher.
Angriffsminderung
Um Angriffe abzuschwächen, die den Mitel-Fehler zum Starten von Ransomware oder anderen Bedrohungsaktivitäten nutzen können, empfehlen Forscher Unternehmen, den Patch so schnell wie möglich anzuwenden.
Die Forscher gaben auch allgemeine Empfehlungen zur Vermeidung von Risiken durch Perimetergeräte ab, um die Pfade zu Unternehmensnetzwerken zu umgehen. Eine Möglichkeit, dies zu tun, besteht darin, externe Scans durchzuführen, um den Fußabdruck einer Organisation zu bewerten und ihre Umgebung und Sicherheitslage zu stärken, sagten sie. Dies wird es Unternehmen ermöglichen, Vermögenswerte zu entdecken, von denen Administratoren möglicherweise nichts gewusst haben, damit sie geschützt werden können, und dabei helfen, die Angriffsfläche einer Organisation über Geräte hinweg zu definieren, die dem Internet ausgesetzt sind, stellten die Forscher fest.
Sobald alle Assets identifiziert sind, sollten Organisationen sicherstellen, dass kritische nicht direkt dem Internet ausgesetzt sind, und ein Gerät aus dem Perimeter entfernen, wenn es nicht dort sein muss, empfahlen die Forscher.
Artic Wolf empfahl Organisationen außerdem, Modulprotokollierung, Skriptblockprotokollierung und Transkriptionsprotokollierung zu aktivieren und Protokolle als Teil ihrer PowerShell-Protokollierungskonfiguration an eine zentrale Protokollierungslösung zu senden. Außerdem sollten sie erfasste Protokolle extern speichern, damit sie im Falle eines Angriffs detaillierte forensische Analysen gegen Ausweichmanöver von Bedrohungsakteuren durchführen können.
