Geng ransomware terlihat menggunakan taktik akses awal yang unik untuk mengeksploitasi kerentanan dalam peralatan voice-over-IP (VoIP) untuk menembus sistem telepon perusahaan, sebelum beralih ke jaringan perusahaan untuk melakukan serangan pemerasan ganda.
Para peneliti dari Artic Wolf Labs telah menemukan Grup ransomware Lorenz mengeksploitasi kelemahan pada peralatan VoIP Mitel MiVoice. Bug (dilacak sebagai CVE-2022-29499) ditemukan pada bulan April dan sepenuhnya ditambal pada bulan Juli, dan merupakan kelemahan eksekusi kode jarak jauh (RCE) yang mempengaruhi komponen Mitel Service Appliance dari MiVoice Connect.
Lorenz mengeksploitasi kelemahan tersebut untuk mendapatkan cangkang terbalik, setelah itu grup tersebut memanfaatkan Chisel, terowongan TCP/UDP cepat berbasis Golang yang diangkut melalui HTTP, sebagai alat tunneling untuk menembus lingkungan perusahaan, Peneliti Serigala Arktik katanya minggu ini. Alat ini "terutama berguna untuk melewati firewall," menurut Halaman GitHub.
Serangan tersebut menunjukkan evolusi oleh aktor ancaman untuk menggunakan "aset yang kurang dikenal atau dipantau" untuk mengakses jaringan dan melakukan aktivitas jahat lebih lanjut untuk menghindari deteksi, menurut Arctic Wolf.
โDalam lanskap saat ini, banyak organisasi sangat memantau aset penting, seperti pengontrol domain dan server web, tetapi cenderung membiarkan perangkat VoIP dan perangkat Internet of Things (IoT) tanpa pemantauan yang tepat, yang memungkinkan pelaku ancaman untuk mendapatkan pijakan ke dalam lingkungan. tanpa terdeteksi,โ tulis para peneliti.
Aktivitas tersebut menggarisbawahi perlunya perusahaan untuk memantau semua perangkat yang menghadap eksternal untuk potensi aktivitas berbahaya, termasuk perangkat VoIP dan IoT, kata para peneliti.
Mitel mengidentifikasi CVE-2022-29499 pada 19 April dan menyediakan skrip untuk rilis 19.2 SP3 dan sebelumnya, serta R14.x dan sebelumnya sebagai solusi sebelum merilis MiVoice Connect versi R19.3 pada bulan Juli untuk sepenuhnya memperbaiki kekurangan tersebut.
Detail Serangan
Lorenz adalah grup ransomware yang telah aktif setidaknya sejak Februari 2021, dan, seperti banyak kelompoknya, bekerja pemerasan ganda korbannya dengan mengekstraksi data dan mengancam untuk mengeksposnya secara online jika korban tidak membayar uang tebusan yang diinginkan dalam jangka waktu tertentu.
Selama kuartal terakhir, grup ini terutama menargetkan usaha kecil dan menengah (UKM) yang berlokasi di Amerika Serikat, dengan outlier di China dan Meksiko, menurut Arctic Wolf.
Dalam serangan yang diidentifikasi peneliti, aktivitas berbahaya awal berasal dari perangkat Mitel yang berada di perimeter jaringan. Setelah membuat shell terbalik, Lorenz menggunakan antarmuka baris perintah perangkat Mitel untuk membuat direktori tersembunyi dan melanjutkan untuk mengunduh biner terkompilasi dari Chisel langsung dari GitHub, melalui Wget.
Pelaku ancaman kemudian mengganti nama biner Pahat menjadi โmem,โ membuka ritsletingnya, dan mengeksekusinya untuk membuat koneksi kembali ke server Pahat yang mendengarkan di hxxps[://]137.184.181[.]252[:]8443, kata para peneliti. Lorenz melewatkan verifikasi sertifikat TLS dan mengubah klien menjadi proxy SOCKS.
Perlu dicatat bahwa Lorenz menunggu hampir sebulan setelah melanggar jaringan perusahaan untuk melakukan aktivitas ransomware tambahan, kata para peneliti. Setelah kembali ke perangkat Mitel, pelaku ancaman berinteraksi dengan shell Web bernama โpdf_import_export.php.โ Tak lama kemudian, perangkat Mitel memulai shell terbalik dan terowongan Pahat lagi sehingga pelaku ancaman dapat melompat ke jaringan perusahaan, menurut Arctic Wolf.
Setelah berada di jaringan, Lorenz memperoleh kredensial untuk dua akun administrator istimewa, satu dengan hak admin lokal dan satu lagi dengan hak admin domain, dan menggunakannya untuk berpindah secara lateral melalui lingkungan melalui RDP dan selanjutnya ke pengontrol domain.
Sebelum mengenkripsi file menggunakan BitLocker dan Lorenz ransomware di ESXi, Lorenz mengekstrak data untuk tujuan pemerasan ganda melalui FileZilla, kata para peneliti.
Mitigasi Serangan
Untuk mengurangi serangan yang dapat memanfaatkan kelemahan Mitel untuk meluncurkan ransomware atau aktivitas ancaman lainnya, peneliti merekomendasikan agar organisasi menerapkan patch sesegera mungkin.
Peneliti juga membuat rekomendasi umum untuk menghindari risiko dari perangkat perimeter sebagai cara untuk menghindari jalur ke jaringan perusahaan. Salah satu cara untuk melakukan ini adalah dengan melakukan pemindaian eksternal untuk menilai jejak organisasi dan memperkuat lingkungan dan postur keamanannya, kata mereka. Ini akan memungkinkan perusahaan untuk menemukan aset yang mungkin tidak diketahui oleh administrator sehingga mereka dapat dilindungi, serta membantu menentukan permukaan serangan organisasi di seluruh perangkat yang terpapar ke Internet, catat para peneliti.
Setelah semua aset diidentifikasi, organisasi harus memastikan bahwa aset penting tidak terpapar langsung ke Internet, menghapus perangkat dari perimeter jika tidak perlu berada di sana, saran peneliti.
Artic Wolf juga merekomendasikan agar organisasi mengaktifkan Logging Modul, Logging Blok Skrip, dan Logging Transkripsi, dan mengirim log ke solusi logging terpusat sebagai bagian dari konfigurasi PowerShell Logging mereka. Mereka juga harus menyimpan log yang ditangkap secara eksternal sehingga mereka dapat melakukan analisis forensik terperinci terhadap tindakan mengelak oleh aktor ancaman jika terjadi serangan.
