Egy zsarolóprogram-banda egyedülálló kezdeti hozzáférési taktikát alkalmaz, hogy kihasználja a Voice-over-IP (VoIP) készülékek sebezhetőségét a vállalati telefonrendszerek megsértésére, mielőtt a vállalati hálózatokra fordulna, hogy kettős zsaroló támadásokat hajtson végre.
Az Artic Wolf Labs kutatói észrevették a Lorenz ransomware csoport a Mitel MiVoice VoIP készülékek hibájának kihasználása. A hiba (nyomon követve: CVE-2022 29499-) áprilisban fedezték fel, és júliusban teljesen kijavították, és egy távoli kódvégrehajtási (RCE) hiba, amely a MiVoice Connect Mitel Service Appliance összetevőjét érinti.
Lorenz a hibát kihasználva fordított héjat kapott, majd a csoport a Chisel-t, egy HTTP-n keresztül továbbított, Golang-alapú gyors TCP/UDP alagutat használta a vállalati környezet megsértésére szolgáló eszközként. Arctic Wolf kutatói mondta ezen a héten. Az eszköz „főként a tűzfalakon való áthaladáshoz hasznos” a GitHub oldal.
Az Arctic Wolf szerint a támadások azt mutatják, hogy a fenyegetés szereplői „kevésbé ismert vagy megfigyelt eszközöket” használnak a hálózatokhoz való hozzáférésre, és további aljas tevékenységeket hajtanak végre az észlelés elkerülése érdekében.
„A jelenlegi helyzetben sok szervezet erősen figyeli a kritikus eszközöket, például a tartományvezérlőket és a webszervereket, de hajlamos a VoIP-eszközöket és a tárgyak internete (IoT) eszközöket megfelelő felügyelet nélkül hagyni, ami lehetővé teszi a fenyegetőzők számára, hogy megvegyék a lábukat egy környezetben. anélkül, hogy észlelnék” – írták a kutatók.
A tevékenység rávilágít arra, hogy a vállalkozásoknak minden külső eszközt figyelniük kell az esetleges rosszindulatú tevékenységekre, ideértve a VoIP- és az IoT-eszközöket is.
A Mitel április 2022-én azonosította a CVE-29499-19-et, és áthidaló megoldásként rendelkezésre bocsátott egy szkriptet a 19.2 SP3 és korábbi kiadásokhoz, valamint az R14.x és korábbi kiadásokhoz, mielőtt júliusban kiadta a MiVoice Connect R19.3-as verzióját a hiba teljes orvoslására.
A támadás részletei
A Lorenz egy ransomware csoport, amely legalább 2021 februárja óta aktív, és sok csoportjához hasonlóan kettős zsarolás áldozatairól adatok kiszűrésével és online fenyegetéssel fenyegetőzve, ha az áldozatok nem fizetik ki a kívánt váltságdíjat egy bizonyos időn belül.
Az Arctic Wolf szerint az elmúlt negyedévben a csoport elsősorban az Egyesült Államokban található kis- és középvállalkozásokat célozta meg, kiugróan Kínában és Mexikóban.
A kutatók által azonosított támadásokban a kezdeti rosszindulatú tevékenység egy Mitel készülékből származott, amely a hálózat peremén volt. Miután létrehozta a fordított shellt, Lorenz a Mitel eszköz parancssori felületét használta fel egy rejtett könyvtár létrehozására, és letöltötte a Chisel lefordított binárisát közvetlenül a GitHubról a Wget segítségével.
A fenyegetés szereplői ezután átnevezték a Chisel binárist „mem”-re, kibontották, majd végrehajtották, hogy visszakapcsoljanak egy Chisel szerverhez, amely a hxxps[://]137.184.181[.]252[:]8443-as hívást figyeli, mondták a kutatók. Lorenz kihagyta a TLS-tanúsítvány ellenőrzését, és az ügyfelet SOCKS proxyvá változtatta.
Érdemes megjegyezni, hogy Lorenz közel egy hónapot várt a vállalati hálózat feltörése után, hogy további zsarolóvírus-tevékenységet folytasson – mondták a kutatók. Amikor visszatértek a Mitel eszközhöz, a fenyegetés szereplői kapcsolatba léptek a „pdf_import_export.php” nevű webhéjjal. Röviddel ezután a Mitel eszköz egy fordított héjat és Chisel-alagutat indított el, így a fenyegetés szereplői a vállalati hálózatra ugorhattak az Arctic Wolf szerint.
Miután a hálózatba került, Lorenz megszerezte a két privilegizált rendszergazdai fiók hitelesítési adatait, az egyik helyi rendszergazdai, a másik pedig tartományi rendszergazdai jogosultságokkal, és ezek segítségével oldalirányban mozoghat a környezetben az RDP-n keresztül, majd egy tartományvezérlőhöz.
Mielőtt a fájlokat BitLocker és Lorenz ransomware segítségével titkosította volna az ESXi rendszeren, Lorenz a FileZillán keresztül dupla zsarolás céljából kiszűrte az adatokat.
Támadás mérséklése
Az olyan támadások mérséklése érdekében, amelyek a Mitel hibáját zsarolóvírusok vagy más fenyegető tevékenységek elindítására használhatják fel, a kutatók azt javasolják, hogy a szervezetek a lehető leghamarabb alkalmazzák a javítást.
A kutatók általános ajánlásokat is megfogalmaztak a peremeszközök okozta kockázatok elkerülésére, hogy elkerüljék a vállalati hálózatokhoz vezető utat. Ennek egyik módja az, hogy külső szkenneléseket hajtanak végre a szervezet lábnyomának felmérése, valamint a környezet és a biztonsági helyzet szigorítása érdekében. Ez lehetővé teszi a vállalatok számára, hogy olyan eszközöket fedezzenek fel, amelyekről az adminisztrátorok nem tudhattak, így megvédhetők, valamint segít meghatározni a szervezet támadási felületét az internetnek kitett eszközök között – jegyezték meg a kutatók.
Az összes eszköz azonosítása után a szervezeteknek gondoskodniuk kell arról, hogy a kritikus elemek ne legyenek közvetlenül kitéve az internetnek, és eltávolítsák az eszközt a területről, ha nem kell ott lennie – javasolták a kutatók.
Az Artic Wolf azt is javasolta, hogy a szervezetek kapcsolják be a modulnaplózást, a szkriptblokk-naplózást és a transzkripciós naplózást, és a PowerShell-naplózási konfiguráció részeként küldjék el a naplókat egy központi naplózási megoldásba. A rögzített naplókat külsőleg is tárolniuk kell, hogy támadás esetén részletes kriminalisztikai elemzést tudjanak végezni a fenyegető szereplők kitérő tevékenységeivel szemben.
