On nähtud, et lunavarajõugu kasutab ainulaadset algjuurdepääsu taktikat, et kasutada IP-kõne (VoIP) seadmete haavatavust ettevõtte telefonisüsteemide rikkumiseks, enne kui pöördub ettevõtte võrkudesse, et toime panna topeltväljapressimise rünnakuid.
Artic Wolf Labsi teadlased on märganud Lorenzi lunavaragrupp Mitel MiVoice VoIP-seadmete puuduse ärakasutamine. Viga (jälgitakse kui CVE-2022-29499) avastati aprillis ja parandati täielikult juulis ning see on koodi kaugkäivitamise (RCE) viga, mis mõjutab MiVoice Connecti Mitel Service Appliance'i komponenti.
Lorenz kasutas viga ära, et hankida vastupidine kest, misjärel kasutas grupp Chiseli, Golangi-põhist kiiret TCP/UDP tunnelit, mida transporditakse üle HTTP, tunneldamistööriistana, et rikkuda ettevõtte keskkonda. Arctic Wolfi uurijad ütles sel nädalal. Tööriist on "peamiselt kasulik tulemüüride läbimiseks", vastavalt GitHubi leht.
Arctic Wolfi sõnul näitavad rünnakud ohus osalejate arengut, et kasutada võrkudele juurdepääsuks "vähem tuntud või jälgitud varasid" ja teha avastamise vältimiseks edasisi alatuid tegevusi.
„Praegusel maastikul jälgivad paljud organisatsioonid tugevalt kriitilisi varasid, nagu domeenikontrollerid ja veebiserverid, kuid kalduvad jätma VoIP-seadmed ja asjade Interneti (IoT) seadmed ilma nõuetekohase järelevalveta, mis võimaldab ohus osalejatel keskkonda kanda kinnitada. ilma avastamata," kirjutasid teadlased.
Teadlaste sõnul rõhutab see tegevus vajadust, et ettevõtted jälgiksid kõiki väliseid seadmeid võimaliku pahatahtliku tegevuse, sealhulgas VoIP- ja IoT-seadmete suhtes.
Mitel tuvastas 2022. aprillil CVE-29499-19 ja esitas lahendusena skripti versioonidele 19.2 SP3 ja varasematele ning R14.x ja varasematele versioonidele enne MiVoice Connecti versiooni R19.3 väljaandmist juulis, et viga täielikult kõrvaldada.
Rünnaku üksikasjad
Lorenz on lunavaragrupp, mis on olnud aktiivne alates 2021. aasta veebruarist ja, nagu paljud selle rühmad, tegutseb kahekordne väljapressimine oma ohvritest, eksfiltreerides andmeid ja ähvardades need veebis paljastada, kui ohvrid teatud aja jooksul soovitud lunaraha ei maksa.
Arctic Wolfi andmetel on grupp viimase kvartali jooksul võtnud sihikule peamiselt väikesed ja keskmise suurusega ettevõtted (VKEd), mis asuvad Ameerika Ühendriikides, Hiinas ja Mehhikos.
Teadlaste tuvastatud rünnete puhul sai algne pahatahtlik tegevus alguse Miteli seadmest, mis asus võrgu perimeetril. Pärast pöördkesta loomist kasutas Lorenz Miteli seadme käsurea liidest peidetud kataloogi loomiseks ja alustas Chiseli kompileeritud binaarfaili allalaadimist otse GitHubist Wgeti kaudu.
Seejärel nimetasid ähvardused Chiseli kahendfaili ümber "mem", pakkisid selle lahti ja käivitasid selle, et luua tagasi ühendus Chiseli serveriga, mis kuulab hxxps[://]137.184.181[.]252[:]8443, teatasid teadlased. Lorenz jättis TLS-i sertifikaadi kontrollimise vahele ja muutis kliendi SOCKS-i puhverserveriks.
Väärib märkimist, et Lorenz ootas peaaegu kuu pärast ettevõtte võrgu sissemurdmist, et viia läbi täiendavaid lunavaratoiminguid, ütlesid teadlased. Naastes Miteli seadmesse, suhtlesid ohutegijad veebikestaga, mille nimi oli "pdf_import_export.php". Varsti pärast seda käivitas Miteli seade Arctic Wolfi andmetel uuesti tagurpidi kesta ja Chiseli tunneli, nii et ohus osalejad said hüpata ettevõtte võrku.
Võrku jõudes hankis Lorenz mandaadid kahe privilegeeritud administraatorikonto jaoks, millest üks oli kohaliku administraatori õigustega ja teine domeeni administraatori õigustega, ning kasutas neid RDP kaudu keskkonnas külgsuunas liikumiseks ja seejärel domeenikontrollerisse.
Teadlased ütlesid, et enne failide krüptimist ESXi süsteemis BitLockeri ja Lorenzi lunavaraga eksfiltreeris Lorenz andmeid topeltväljapressimise eesmärgil FileZilla kaudu.
Rünnaku leevendamine
Rünnakute leevendamiseks, mis võivad kasutada Miteli viga lunavara või muu ohutegevuse käivitamiseks, soovitavad teadlased organisatsioonidel plaastri võimalikult kiiresti kasutusele võtta.
Teadlased andsid ka üldisi soovitusi, et vältida perimeetriseadmetest tulenevat ohtu, et vältida teid ettevõtte võrkudesse. Üks võimalus seda teha on teha väliseid skaneeringuid, et hinnata organisatsiooni jalajälge ning tugevdada selle keskkonda ja turvalisust, ütlesid nad. Teadlased märkisid, et see võimaldab ettevõtetel avastada varasid, millest administraatorid ei pruugi teada olla, et neid saaks kaitsta, ning samuti aidata määratleda organisatsiooni rünnakupinda Internetiga kokku puutuvates seadmetes.
Kui kõik varad on tuvastatud, peaksid organisatsioonid tagama, et kriitilised varad ei puutuks otse Internetiga kokku, eemaldades seadme perimeetrist, kui see ei pea seal olema, soovitasid teadlased.
Artic Wolf soovitas ka organisatsioonidel lülitada sisse mooduli logimine, skriptiplokkide logimine ja transkriptsiooni logimine ning saata logid tsentraliseeritud logimislahendusse oma PowerShelli logimise konfiguratsiooni osana. Samuti peaksid nad salvestama salvestatud logisid väljastpoolt, et nad saaksid ründe korral teha üksikasjalikku kohtuekspertiisi, et vältida ohus osalejate kõrvalehoidmist.
