लोरेंज रैनसमवेयर मिटेल वीओआईपी फोन सिस्टम प्लेटोब्लॉकचैन डेटा इंटेलिजेंस के माध्यम से एसएमबी के बाद जाता है। लंबवत खोज। ऐ.

लोरेंज रैनसमवेयर मिटेल वीओआईपी फोन सिस्टम के माध्यम से एसएमबी के बाद चला जाता है

समय टिकट: 13 सितंबर, 2022 10:13 पूर्वाह्न

एक रैंसमवेयर गिरोह को कॉरपोरेट फोन सिस्टम को भंग करने के लिए वॉयस-ओवर-आईपी (वीओआईपी) उपकरणों में भेद्यता का फायदा उठाने के लिए एक अनूठी प्रारंभिक-पहुंच रणनीति का उपयोग करते हुए देखा गया है, इससे पहले कि कॉर्पोरेट नेटवर्क पर दोहरे-जबरन वसूली के हमले किए जाएं।

आर्टिक वुल्फ लैब्स के शोधकर्ताओं ने पाया है कि लोरेंज रैंसमवेयर ग्रुप Mitel MiVoice वीओआईपी उपकरणों में एक दोष का शोषण। बग (के रूप में ट्रैक किया गया) CVE-2022-29499) अप्रैल में खोजा गया था और जुलाई में पूरी तरह से पैच कर दिया गया था, और यह एक रिमोट कोड निष्पादन (RCE) दोष है जो MiVoice Connect के Mitel सेवा उपकरण घटक को प्रभावित करता है।

लोरेंज ने एक रिवर्स शेल प्राप्त करने के लिए दोष का फायदा उठाया, जिसके बाद समूह ने कॉर्पोरेट वातावरण को भंग करने के लिए एक टनलिंग टूल के रूप में, एक गोलंग-आधारित तेज़ टीसीपी/यूडीपी सुरंग, जिसे एचटीटीपी पर ले जाया जाता है, का लाभ उठाया, आर्कटिक वुल्फ शोधकर्ता इस सप्ताह कहा। उपकरण "मुख्य रूप से फायरवॉल से गुजरने के लिए उपयोगी है," के अनुसार गीथहब पेज.

आर्कटिक वुल्फ के अनुसार, हमले नेटवर्क तक पहुंचने के लिए "कम ज्ञात या निगरानी की गई संपत्ति" का उपयोग करने और पता लगाने से बचने के लिए आगे की नापाक गतिविधि करने के लिए खतरे वाले अभिनेताओं द्वारा एक विकास दिखाते हैं।

"वर्तमान परिदृश्य में, कई संगठन डोमेन नियंत्रकों और वेब सर्वरों जैसी महत्वपूर्ण संपत्तियों की भारी निगरानी करते हैं, लेकिन उचित निगरानी के बिना वीओआईपी उपकरणों और चीजों के इंटरनेट (आईओटी) उपकरणों को छोड़ देते हैं, जो खतरे वाले अभिनेताओं को पर्यावरण में पैर जमाने में सक्षम बनाता है। बिना पता लगाए, ”शोधकर्ताओं ने लिखा।

शोधकर्ताओं ने कहा कि गतिविधि संभावित दुर्भावनापूर्ण गतिविधि के लिए सभी बाहरी उपकरणों की निगरानी के लिए उद्यमों की आवश्यकता को रेखांकित करती है, जिसमें वीओआईपी और आईओटी डिवाइस शामिल हैं।

मिटेल ने 2022 अप्रैल को सीवीई-29499-19 की पहचान की और 19.2 एसपी3 और इससे पहले के रिलीज के लिए एक स्क्रिप्ट प्रदान की, और आर14.एक्स और इससे पहले जुलाई में मिवॉइस कनेक्ट संस्करण आर19.3 को रिलीज करने से पहले एक समाधान के रूप में दोष को पूरी तरह से दूर करने के लिए।

हमले का विवरण

लोरेंज एक रैंसमवेयर समूह है जो कम से कम फरवरी 2021 से सक्रिय है, और इसके कई साथियों की तरह, प्रदर्शन करता है दोहरा जबरन वसूली एक निश्चित समय सीमा में वांछित फिरौती का भुगतान नहीं करने पर डेटा को बाहर निकालने और इसे ऑनलाइन उजागर करने की धमकी देकर इसके पीड़ितों का।

आर्कटिक वुल्फ के अनुसार, पिछली तिमाही में, समूह ने मुख्य रूप से संयुक्त राज्य अमेरिका में स्थित छोटे और मध्यम व्यवसायों (एसएमबी) को चीन और मैक्सिको में आउटलेयर के साथ लक्षित किया है।

शोधकर्ताओं ने जिन हमलों की पहचान की, उनमें प्रारंभिक दुर्भावनापूर्ण गतिविधि नेटवर्क परिधि पर बैठे एक मितेल उपकरण से उत्पन्न हुई। एक बार रिवर्स शेल स्थापित करने के बाद, लोरेंज ने एक छिपी हुई निर्देशिका बनाने के लिए मिटेल डिवाइस के कमांड लाइन इंटरफ़ेस का उपयोग किया और Wget के माध्यम से सीधे गिटहब से छेनी के संकलित बाइनरी को डाउनलोड करने के लिए आगे बढ़े।

शोधकर्ताओं ने कहा कि थ्रेट एक्टर्स ने फिर छेनी बाइनरी का नाम बदलकर "मेम" कर दिया, इसे अनज़िप कर दिया, और इसे एक छेनी सर्वर से कनेक्ट करने के लिए निष्पादित किया, जो hxxps[://]137.184.181[.]252[:]8443 पर सुन रहा था। लोरेंज ने टीएलएस प्रमाणपत्र सत्यापन को छोड़ दिया और क्लाइंट को सॉक्स प्रॉक्सी में बदल दिया।

शोधकर्ताओं ने कहा कि यह ध्यान देने योग्य है कि लोरेंज ने अतिरिक्त रैंसमवेयर गतिविधि करने के लिए कॉर्पोरेट नेटवर्क को भंग करने के लगभग एक महीने बाद इंतजार किया। मिटेल डिवाइस पर लौटने पर, धमकी देने वाले अभिनेताओं ने "pdf_import_export.php" नामक एक वेब शेल के साथ बातचीत की। इसके तुरंत बाद, आर्कटिक वुल्फ के अनुसार, मिटेल डिवाइस ने एक रिवर्स शेल और छेनी सुरंग फिर से शुरू की ताकि खतरे वाले अभिनेता कॉर्पोरेट नेटवर्क पर कूद सकें।

एक बार नेटवर्क पर, लोरेंज ने दो विशेषाधिकार प्राप्त व्यवस्थापक खातों के लिए प्रमाण-पत्र प्राप्त किए, एक स्थानीय व्यवस्थापक विशेषाधिकारों के साथ और एक डोमेन व्यवस्थापक विशेषाधिकारों के साथ, और उन्हें बाद में आरडीपी के माध्यम से और बाद में एक डोमेन नियंत्रक के माध्यम से पर्यावरण के माध्यम से स्थानांतरित करने के लिए उपयोग किया।

शोधकर्ताओं ने कहा कि ESXi पर BitLocker और Lorenz ransomware का उपयोग करके फ़ाइलों को एन्क्रिप्ट करने से पहले, Lorenz ने FileZilla के माध्यम से दोहरे जबरन वसूली के उद्देश्य से डेटा को बाहर निकाला।

हमला शमन

रैंसमवेयर या अन्य खतरे की गतिविधि शुरू करने के लिए मिटेल दोष का लाभ उठाने वाले हमलों को कम करने के लिए, शोधकर्ताओं का सुझाव है कि संगठन जल्द से जल्द पैच लागू करें।

शोधकर्ताओं ने कॉर्पोरेट नेटवर्क के रास्ते से बचने के तरीके के रूप में परिधि उपकरणों से जोखिम से बचने के लिए सामान्य सिफारिशें भी कीं। ऐसा करने का एक तरीका किसी संगठन के पदचिह्न का आकलन करने और उसके पर्यावरण और सुरक्षा मुद्रा को सख्त करने के लिए बाहरी स्कैन करना है, उन्होंने कहा। यह उद्यमों को उन संपत्तियों की खोज करने की अनुमति देगा जिनके बारे में प्रशासकों को पता नहीं था ताकि उन्हें संरक्षित किया जा सके, साथ ही इंटरनेट के संपर्क में आने वाले उपकरणों में संगठन की हमले की सतह को परिभाषित करने में मदद मिलेगी, शोधकर्ताओं ने नोट किया।

एक बार सभी संपत्तियों की पहचान हो जाने के बाद, संगठनों को यह सुनिश्चित करना चाहिए कि महत्वपूर्ण लोगों को सीधे इंटरनेट के संपर्क में नहीं लाया जाता है, परिधि से एक उपकरण को हटा दिया जाता है यदि इसकी आवश्यकता नहीं है, शोधकर्ताओं ने सिफारिश की।

आर्टिक वुल्फ ने यह भी सिफारिश की कि संगठन मॉड्यूल लॉगिंग, स्क्रिप्ट ब्लॉक लॉगिंग और ट्रांसक्रिप्शन लॉगिंग चालू करें, और अपने पावरशेल लॉगिंग कॉन्फ़िगरेशन के हिस्से के रूप में एक केंद्रीकृत लॉगिंग समाधान के लिए लॉग भेजें। उन्हें कैप्चर किए गए लॉग को बाहरी रूप से भी स्टोर करना चाहिए ताकि वे हमले के मामले में धमकी देने वाले अभिनेताओं द्वारा की गई कार्रवाई के खिलाफ विस्तृत फोरेंसिक विश्लेषण कर सकें।

समय टिकट:

से अधिक डार्क रीडिंग