یک گروه باجافزار دیده شده است که از یک تاکتیک دسترسی اولیه منحصر به فرد برای سوء استفاده از یک آسیبپذیری در دستگاههای VoIP (VoIP) برای نفوذ به سیستمهای تلفن شرکتها، قبل از چرخش به شبکههای شرکتی برای انجام حملات اخاذی مضاعف استفاده میکند.
محققان آزمایشگاه های Artic Wolf این را مشاهده کرده اند گروه باج افزار لورنز بهره برداری از نقص در دستگاه های VoIP Mitel MiVoice. اشکال (ردیابی شده به عنوان CVE-2022-29499) در آوریل کشف شد و در ماه جولای به طور کامل وصله شد و یک نقص اجرای کد از راه دور (RCE) است که مؤلفه Mitel Service Appliance MiVoice Connect را تحت تأثیر قرار می دهد.
لورنز از این نقص برای به دست آوردن پوسته معکوس استفاده کرد، پس از آن گروه از Chisel، یک تونل سریع TCP/UDP مبتنی بر Golang که از طریق HTTP منتقل میشود، به عنوان ابزار تونلزنی برای نفوذ به محیط شرکت استفاده کرد. محققان گرگ قطب شمال گفت این هفته این ابزار "عمدتا برای عبور از دیوارهای آتش" مفید است صفحه GitHub.
به گفته Arctic Wolf، این حملات نشان دهنده تکامل بازیگران تهدید برای استفاده از "دارایی های کمتر شناخته شده یا نظارت شده" برای دسترسی به شبکه ها و انجام فعالیت های پلید بیشتر برای جلوگیری از شناسایی است.
«در چشمانداز کنونی، بسیاری از سازمانها به شدت داراییهای حیاتی، مانند کنترلکنندههای دامنه و سرورهای وب را رصد میکنند، اما تمایل دارند دستگاههای VoIP و دستگاههای اینترنت اشیاء (IoT) را بدون نظارت مناسب رها کنند، که به عوامل تهدید امکان میدهد در یک محیط جای پایی به دست آورند. محققان نوشتند بدون اینکه شناسایی شوند.
به گفته محققان، این فعالیت بر نیاز شرکت ها برای نظارت بر همه دستگاه های خارجی برای فعالیت های مخرب احتمالی، از جمله دستگاه های VoIP و IoT تاکید می کند.
Mitel CVE-2022-29499 را در 19 آوریل شناسایی کرد و یک اسکریپت برای نسخههای 19.2 SP3 و نسخههای قبلی و R14.x و نسخههای قبلی را به عنوان راهحلی قبل از انتشار MiVoice Connect نسخه R19.3 در ماه جولای برای رفع کامل نقص ارائه کرد.
جزئیات حمله
Lorenz یک گروه باج افزار است که حداقل از فوریه 2021 فعال بوده است و مانند بسیاری از گروه های خود اجرا می کند. اخاذی مضاعف قربانیان خود را با استخراج دادهها و تهدید به افشای آنلاین آنها در صورت عدم پرداخت باج مورد نظر در یک بازه زمانی مشخص.
بر اساس گزارش Arctic Wolf، در سه ماهه گذشته، این گروه عمدتاً مشاغل کوچک و متوسط (SMB) مستقر در ایالات متحده را هدف قرار داده است که دارای نقاط دورافتاده در چین و مکزیک است.
در حملاتی که محققان شناسایی کردند، فعالیت مخرب اولیه از یک دستگاه Mitel که در محیط شبکه نشسته بود، سرچشمه گرفت. هنگامی که یک پوسته معکوس ایجاد کرد، لورنز از رابط خط فرمان دستگاه Mitel برای ایجاد یک دایرکتوری مخفی استفاده کرد و اقدام به دانلود باینری کامپایل شده Chisel به طور مستقیم از GitHub و از طریق Wget کرد.
محققین گفتند که عوامل تهدید سپس باینری Chisel را به "mem" تغییر نام دادند، آن را از حالت فشرده خارج کردند و برای برقراری ارتباط مجدد به سرور Chisel که در hxxps[://]137.184.181[.]252[:]8443 گوش میدهد، اجرا کردند. لورنز تأیید گواهی TLS را نادیده گرفت و مشتری را به یک پروکسی SOCKS تبدیل کرد.
شایان ذکر است که به گفته محققان، لورنز نزدیک به یک ماه پس از نفوذ به شبکه شرکتی منتظر بود تا فعالیت های باج افزار بیشتری را انجام دهد. پس از بازگشت به دستگاه Mitel، عوامل تهدید با یک پوسته وب به نام "pdf_import_export.php" تعامل کردند. به گفته Arctic Wolf، اندکی پس از آن، دستگاه Mitel یک پوسته معکوس و تونل Chisel را دوباره شروع کرد تا عوامل تهدید بتوانند به شبکه شرکت بپرند.
هنگامی که در شبکه قرار گرفت، لورنز اعتبار دو حساب مدیر ممتاز، یکی با امتیازات مدیریت محلی و دیگری با امتیازات مدیریت دامنه را به دست آورد و از آنها برای حرکت جانبی در محیط از طریق RDP و متعاقباً به یک کنترل کننده دامنه استفاده کرد.
به گفته محققان، قبل از رمزگذاری فایلها با استفاده از باجافزار BitLocker و Lorenz در ESXi، لورنز دادهها را برای اهداف اخاذی مضاعف از طریق FileZilla استخراج میکرد.
کاهش حمله
برای کاهش حملاتی که میتوانند از نقص Mitel برای راهاندازی باجافزار یا سایر فعالیتهای تهدیدکننده استفاده کنند، محققان توصیه میکنند که سازمانها این وصله را در اسرع وقت اعمال کنند.
محققان همچنین توصیه های کلی برای جلوگیری از خطرات ناشی از دستگاه های پیرامونی به عنوان راهی برای جلوگیری از مسیرهای شبکه های شرکتی ارائه کردند. آنها گفتند که یکی از راههای انجام این کار انجام اسکنهای خارجی برای ارزیابی ردپای سازمان و سختتر کردن محیط و وضعیت امنیتی آن است. محققان خاطرنشان کردند که این به شرکتها اجازه میدهد تا داراییهایی را کشف کنند که ممکن است مدیران درباره آنها اطلاعی نداشته باشند تا بتوانند از آنها محافظت کنند، و همچنین به تعریف سطح حمله سازمان در دستگاههای در معرض اینترنت کمک میکند.
محققان توصیه میکنند وقتی همه داراییها شناسایی میشوند، سازمانها باید اطمینان حاصل کنند که داراییهای حیاتی مستقیماً در معرض اینترنت قرار نمیگیرند و اگر نیازی به وجود یک دستگاه نباشد، دستگاه را از محیط خارج کنند.
Artic Wolf همچنین توصیه میکند که سازمانها Logging ماژولها، Script Block Logging و Transcription Logging را فعال کنند و گزارشها را به عنوان بخشی از پیکربندی PowerShell Logging خود به یک راهحل ثبت مرکزی ارسال کنند. آنها همچنین باید گزارش های ضبط شده را به صورت خارجی ذخیره کنند تا بتوانند تجزیه و تحلیل دقیق پزشکی قانونی را در برابر اقدامات فراری توسط عوامل تهدید در صورت حمله انجام دهند.