Kiristyshaittaohjelmajoukon on nähty käyttävän ainutlaatuista alkupääsytaktiikkaa hyödyntääkseen Voice-over-IP (VoIP) -laitteiden haavoittuvuutta yrityksen puhelinjärjestelmien rikkomiseen, ennen kuin se on siirtynyt yritysverkkoihin tehdäkseen kaksinkertaisia kiristyshyökkäyksiä.
Artic Wolf Labsin tutkijat ovat havainneet Lorenzin lunnasohjelmaryhmä Mitel MiVoice VoIP -laitteiden puutteen hyödyntäminen. Virhe (jäljitetty nimellä CVE-2022-29499) löydettiin huhtikuussa ja korjattiin kokonaan heinäkuussa, ja se on koodin etäsuorittamisen (RCE) virhe, joka vaikuttaa MiVoice Connectin Mitel Service Appliance -komponenttiin.
Lorenz käytti virhettä hyväkseen saadakseen käänteisen kuoren, minkä jälkeen ryhmä hyödynsi Chiseliä, Golang-pohjaista nopeaa TCP/UDP-tunnelia, joka kuljetetaan HTTP:n kautta, tunnelointityökaluna rikkoakseen yritysympäristöä. Arctic Wolf -tutkijat sanoi tällä viikolla. Työkalu on "pääasiassa hyödyllinen palomuurien läpikulkuun", sanoo GitHub-sivu.
Hyökkäykset osoittavat Arctic Wolfin mukaan uhkatoimijoiden kehitystä käyttämään "vähemmän tunnettuja tai valvottuja resursseja" päästäkseen verkkoihin ja suorittamaan muita ilkeitä toimia havaitsemisen välttämiseksi.
"Nykyisessä ympäristössä monet organisaatiot valvovat voimakkaasti kriittisiä resursseja, kuten toimialueen ohjaimia ja verkkopalvelimia, mutta jättävät VoIP-laitteet ja esineiden internet (IoT) -laitteet ilman asianmukaista valvontaa, mikä mahdollistaa uhkatekijöiden jalansijan ympäristöön. havaitsematta", tutkijat kirjoittivat.
Toiminta korostaa yritysten tarvetta valvoa kaikkia ulkopuolisia laitteita mahdollisen haitallisen toiminnan varalta, mukaan lukien VoIP- ja IoT-laitteet, tutkijat sanoivat.
Mitel tunnisti CVE-2022-29499:n 19. huhtikuuta ja toimitti käsikirjoituksen versioille 19.2 SP3 ja sitä vanhemmille sekä R14.x:lle ja aikaisemmille ratkaisuna ennen kuin MiVoice Connect -versio R19.3 julkaisi heinäkuussa vian korjaamiseksi.
Hyökkäyksen tiedot
Lorenz on ransomware-ryhmä, joka on ollut aktiivinen ainakin helmikuusta 2021 lähtien ja, kuten monet sen ryhmät, esiintyy kaksinkertainen kiristys uhreistaan suodattamalla tietoja ja uhkaamalla paljastaa ne verkossa, jos uhrit eivät maksa haluttua lunnaita tietyn ajan kuluessa.
Arctic Wolfin mukaan ryhmä on viimeisen vuosineljänneksen aikana keskittynyt ensisijaisesti pieniin ja keskisuuriin yrityksiin (SMB), jotka sijaitsevat Yhdysvalloissa ja poikkeavat Kiinassa ja Meksikossa.
Tutkijoiden tunnistamissa hyökkäyksissä alkuperäinen haitallinen toiminta sai alkunsa Mitel-laitteesta, joka istui verkon kehällä. Perustettuaan käänteisen kuoren Lorenz käytti Mitel-laitteen komentorivikäyttöliittymää piilotetun hakemiston luomiseen ja jatkoi Chiselin käännetyn binaarin lataamista suoraan GitHubista Wgetin kautta.
Uhkatoimijat nimesivät sitten Chisel-binaarin uudelleen nimellä "mem", purtivat sen ja suorittivat sen muodostaakseen yhteyden takaisin Chisel-palvelimeen, joka kuuntelee numeroa hxxps[://]137.184.181[.]252[:]8443, tutkijat sanoivat. Lorenz ohitti TLS-varmenteen tarkistuksen ja muutti asiakkaan SOCKS-välityspalvelimeksi.
On syytä huomata, että Lorenz odotti lähes kuukauden murtautuessaan yritysverkkoon suorittaakseen lisää kiristysohjelmia, tutkijat sanoivat. Palattuaan Mitel-laitteeseen uhkatoimijat olivat vuorovaikutuksessa "pdf_import_export.php" -nimisen Web-kuoren kanssa. Pian tämän jälkeen Mitel-laite aloitti käänteisen kuoren ja Chisel-tunnelin uudelleen, jotta uhkatekijät voisivat hypätä yrityksen verkkoon, Arctic Wolfin mukaan.
Päästyään verkkoon Lorenz hankki kahdelle etuoikeutetulle järjestelmänvalvojan tilille tunnistetiedot, joista toisella oli paikallisen järjestelmänvalvojan oikeudet ja toisella verkkotunnuksen järjestelmänvalvojan oikeudet, ja käytti niitä siirtyäkseen sivusuunnassa ympäristön läpi RDP:n kautta ja sen jälkeen toimialueen ohjaimeen.
Ennen tiedostojen salaamista BitLockerilla ja Lorenzin kiristysohjelmilla ESXi:ssä, Lorenz suodatti tiedot kaksoiskiristystarkoituksiin FileZillan kautta, tutkijat sanoivat.
Hyökkäyksen lieventäminen
Vähentääkseen hyökkäyksiä, jotka voivat hyödyntää Mitel-virhettä kiristysohjelmien tai muun uhkatoiminnan käynnistämiseksi, tutkijat suosittelevat, että organisaatiot asentavat korjaustiedoston mahdollisimman pian.
Tutkijat antoivat myös yleisiä suosituksia kehälaitteiden aiheuttamien riskien välttämiseksi keinona välttää polut yritysverkkoihin. Yksi tapa tehdä tämä on suorittaa ulkoisia skannauksia organisaation jalanjäljen arvioimiseksi ja sen ympäristön ja turvallisuusasennon vahvistamiseksi, he sanoivat. Tämä antaa yrityksille mahdollisuuden löytää omaisuutta, josta järjestelmänvalvojat eivät ehkä ole tienneet, jotta ne voidaan suojata, sekä auttaa määrittelemään organisaation hyökkäyspinnan Internetiin alttiina oleville laitteille, tutkijat huomauttavat.
Kun kaikki omaisuus on tunnistettu, organisaatioiden tulisi varmistaa, että kriittiset eivät ole suoraan alttiina Internetiin, jolloin laite on poistettava ulkopuolelta, jos sen ei tarvitse olla siellä, tutkijat suosittelivat.
Artic Wolf suositteli myös, että organisaatiot ottavat käyttöön Module Loggingin, Script Block Loggingin ja Transcription Loggingin ja lähettävät lokit keskitettyyn lokiratkaisuun osana PowerShell Logging -kokoonpanoaan. Heidän tulee myös tallentaa kaapatut lokit ulkoisesti, jotta he voivat suorittaa yksityiskohtaisen rikosteknisen analyysin uhkaavien toimijoiden välttelemistä toimista hyökkäyksen sattuessa.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
