Το Lorenz Ransomware κυνηγά τις μικρομεσαίες επιχειρήσεις μέσω των τηλεφωνικών συστημάτων VoIP της Mitel

Μια συμμορία ransomware έχει δει να χρησιμοποιεί μια μοναδική τακτική αρχικής πρόσβασης για να εκμεταλλευτεί μια ευπάθεια σε συσκευές φωνής μέσω IP (VoIP) για να παραβιάσει τα εταιρικά τηλεφωνικά συστήματα, πριν στραφεί σε εταιρικά δίκτυα για να διαπράξει επιθέσεις διπλού εκβιασμού.

Ερευνητές από το Artic Wolf Labs εντόπισαν το Ομάδα ransomware Lorenz εκμετάλλευση ενός ελαττώματος στις συσκευές VoIP Mitel MiVoice. Το σφάλμα (παρακολουθείται ως CVE-2022-29499) ανακαλύφθηκε τον Απρίλιο και επιδιορθώθηκε πλήρως τον Ιούλιο και είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RCE) που επηρεάζει το στοιχείο Mitel Service Appliance του MiVoice Connect.

Ο Lorenz εκμεταλλεύτηκε το ελάττωμα για να αποκτήσει ένα αντίστροφο κέλυφος, μετά το οποίο η ομάδα χρησιμοποίησε το Chisel, μια γρήγορη σήραγγα TCP/UDP που βασίζεται στο Golang που μεταφέρεται μέσω HTTP, ως εργαλείο διοχέτευσης σήραγγας για την παραβίαση του εταιρικού περιβάλλοντος. Ερευνητές του Arctic Wolf είπε αυτή την εβδομάδα. Το εργαλείο είναι "κυρίως χρήσιμο για τη διέλευση από τείχη προστασίας", σύμφωνα με το GitHub σελίδα.

Σύμφωνα με τον Arctic Wolf, οι επιθέσεις δείχνουν μια εξέλιξη από τους παράγοντες απειλών να χρησιμοποιούν «λιγότερο γνωστά ή ελεγχόμενα στοιχεία» για πρόσβαση σε δίκτυα και να εκτελούν περαιτέρω κακόβουλες δραστηριότητες για να αποφύγουν τον εντοπισμό.

«Στο τρέχον τοπίο, πολλοί οργανισμοί παρακολουθούν σε μεγάλο βαθμό κρίσιμα περιουσιακά στοιχεία, όπως ελεγκτές τομέα και διακομιστές ιστού, αλλά τείνουν να αφήνουν τις συσκευές VoIP και τις συσκευές Διαδικτύου των πραγμάτων (IoT) χωρίς κατάλληλη παρακολούθηση, κάτι που επιτρέπει στους παράγοντες απειλών να αποκτήσουν έδαφος σε ένα περιβάλλον χωρίς να ανιχνευθεί», έγραψαν οι ερευνητές.

Η δραστηριότητα υπογραμμίζει την ανάγκη για τις επιχειρήσεις να παρακολουθούν όλες τις συσκευές που αντιμετωπίζουν εξωτερικά για πιθανή κακόβουλη δραστηριότητα, συμπεριλαμβανομένων των συσκευών VoIP και IoT, είπαν οι ερευνητές.

Η Mitel αναγνώρισε το CVE-2022-29499 στις 19 Απριλίου και παρείχε ένα σενάριο για εκδόσεις 19.2 SP3 και παλαιότερες, και το R14.x και παλαιότερες ως λύση πριν από την κυκλοφορία του MiVoice Connect έκδοση R19.3 τον Ιούλιο για την πλήρη αποκατάσταση του ελαττώματος.

Λεπτομέρειες επίθεσης

Η Lorenz είναι μια ομάδα ransomware που είναι ενεργή τουλάχιστον από τον Φεβρουάριο του 2021 και, όπως πολλές από τις κοόρτες της, εκτελεί διπλή εκβιασμός των θυμάτων του, διεισδύοντας δεδομένα και απειλώντας να τα εκθέσει στο Διαδίκτυο εάν τα θύματα δεν πληρώσουν τα επιθυμητά λύτρα σε ένα συγκεκριμένο χρονικό διάστημα.

Κατά το τελευταίο τρίμηνο, ο όμιλος στόχευσε κυρίως τις μικρές και μεσαίες επιχειρήσεις (ΜΜΒ) που βρίσκονται στις Ηνωμένες Πολιτείες, με ακραίες τιμές στην Κίνα και το Μεξικό, σύμφωνα με την Arctic Wolf.

Στις επιθέσεις που εντόπισαν οι ερευνητές, η αρχική κακόβουλη δραστηριότητα προήλθε από μια συσκευή Mitel που βρισκόταν στην περίμετρο του δικτύου. Μόλις δημιούργησε ένα αντίστροφο κέλυφος, ο Lorenz χρησιμοποίησε τη διεπαφή γραμμής εντολών της συσκευής Mitel για να δημιουργήσει έναν κρυφό κατάλογο και προχώρησε στη λήψη ενός μεταγλωττισμένου δυαδικού αρχείου Chisel απευθείας από το GitHub, μέσω του Wget.

Στη συνέχεια, οι ηθοποιοί του Threat μετονόμασαν το δυαδικό σύστημα Chisel σε "mem", το αποσυμπίεσαν και το εκτέλεσαν για να δημιουργήσουν μια σύνδεση πίσω σε έναν διακομιστή Chisel που ακούει στο hxxps[://]137.184.181[.]252[:]8443, είπαν οι ερευνητές. Ο Lorenz παρέλειψε την επαλήθευση πιστοποιητικού TLS και μετέτρεψε τον πελάτη σε διακομιστή μεσολάβησης SOCKS.

Αξίζει να σημειωθεί ότι ο Lorenz περίμενε σχεδόν ένα μήνα μετά την παραβίαση του εταιρικού δικτύου για να πραγματοποιήσει πρόσθετη δραστηριότητα ransomware, είπαν οι ερευνητές. Όταν επέστρεψαν στη συσκευή Mitel, οι παράγοντες απειλής αλληλεπίδρασαν με ένα κέλυφος Ιστού που ονομάζεται "pdf_import_export.php". Λίγο αργότερα, η συσκευή Mitel ξεκίνησε ξανά ένα αντίστροφο κέλυφος και μια σήραγγα Chisel, ώστε οι παράγοντες απειλών να μπορούν να πηδήξουν στο εταιρικό δίκτυο, σύμφωνα με τον Arctic Wolf.

Μόλις μπήκε στο δίκτυο, ο Lorenz έλαβε διαπιστευτήρια για δύο προνομιούχους λογαριασμούς διαχειριστή, έναν με δικαιώματα τοπικού διαχειριστή και έναν με δικαιώματα διαχειριστή τομέα, και τα χρησιμοποίησε για να μετακινηθεί πλευρικά στο περιβάλλον μέσω RDP και στη συνέχεια σε έναν ελεγκτή τομέα.

Προτού κρυπτογραφήσει αρχεία χρησιμοποιώντας το BitLocker και το ransomware Lorenz στο ESXi, ο Lorenz διήγαγε δεδομένα για σκοπούς διπλής εκβίασης μέσω του FileZilla, είπαν οι ερευνητές.

Μετριασμός επίθεσης

Για τον μετριασμό των επιθέσεων που μπορούν να αξιοποιήσουν το ελάττωμα του Mitel για την εκτόξευση ransomware ή άλλης δραστηριότητας απειλής, οι ερευνητές συνιστούν στους οργανισμούς να εφαρμόσουν την ενημερωμένη έκδοση κώδικα το συντομότερο δυνατό.

Οι ερευνητές έκαναν επίσης γενικές συστάσεις για την αποφυγή κινδύνου από τις περιμετρικές συσκευές ως τρόπο αποφυγής των οδών προς τα εταιρικά δίκτυα. Ένας τρόπος για να γίνει αυτό είναι να πραγματοποιήσετε εξωτερικές σαρώσεις για να αξιολογήσετε το αποτύπωμα ενός οργανισμού και να σκληρύνετε το περιβάλλον και τη στάση ασφαλείας του, είπαν. Αυτό θα επιτρέψει στις επιχειρήσεις να ανακαλύψουν περιουσιακά στοιχεία για τα οποία οι διαχειριστές μπορεί να μην γνώριζαν, ώστε να μπορούν να προστατευθούν, καθώς και να βοηθήσει στον καθορισμό της επιφάνειας επίθεσης ενός οργανισμού σε συσκευές που εκτίθενται στο Διαδίκτυο, σημείωσαν οι ερευνητές.

Μόλις εντοπιστούν όλα τα περιουσιακά στοιχεία, οι οργανισμοί θα πρέπει να διασφαλίσουν ότι τα κρίσιμα δεν εκτίθενται απευθείας στο Διαδίκτυο, αφαιρώντας μια συσκευή από την περίμετρο εάν δεν χρειάζεται να υπάρχει, συνέστησαν οι ερευνητές.

Η Artic Wolf συνέστησε επίσης στους οργανισμούς να ενεργοποιούν την καταγραφή λειτουργιών, την καταγραφή μπλοκ δέσμης ενεργειών και την καταγραφή μεταγραφής και να στέλνουν αρχεία καταγραφής σε μια κεντρική λύση καταγραφής ως μέρος της διαμόρφωσης καταγραφής PowerShell. Θα πρέπει επίσης να αποθηκεύουν εξωτερικά τα καταγεγραμμένα αρχεία καταγραφής, ώστε να μπορούν να εκτελούν λεπτομερή εγκληματολογική ανάλυση έναντι ενεργειών αποφυγής από φορείς απειλής σε περίπτωση επίθεσης.