כנופיית תוכנות כופר נראתה משתמשת בטקטיקה ייחודית של גישה ראשונית כדי לנצל פגיעות במכשירי Voice-over-IP (VoIP) כדי לפרוץ מערכות טלפון ארגוניות, לפני שהיא עוברת לרשתות ארגוניות כדי לבצע התקפות סחיטה כפולה.
חוקרים ממעבדות ארטיק וולף הבחינו ב קבוצת תוכנות הכופר של לורנץ ניצול פגם במכשירי Mitel MiVoice VoIP. הבאג (במעקב כמו CVE-2022-29499) התגלה באפריל ותוקן במלואו ביולי, והוא פגם בביצוע קוד מרחוק (RCE) המשפיע על רכיב Mitel Service Appliance של MiVoice Connect.
לורנץ ניצל את הפגם כדי להשיג מעטפת הפוכה, ולאחר מכן הקבוצה מינפה את Chisel, מנהרת TCP/UDP מהירה מבוססת גולנג המועברת ב-HTTP, ככלי מנהור כדי לפרוץ את הסביבה הארגונית, חוקרי זאב ארקטי אמר השבוע. הכלי "שימושי בעיקר למעבר דרך חומות אש", על פי ה דף GitHub.
ההתקפות מראות התפתחות של גורמי איום להשתמש ב"נכסים פחות מוכרים או מנוטרים" כדי לגשת לרשתות ולבצע פעילות מרושעת נוספת כדי להימנע מגילוי, לפי Arctic Wolf.
"בנוף הנוכחי, ארגונים רבים עוקבים בכבדות אחר נכסים קריטיים, כגון בקרי תחום ושרתי אינטרנט, אך נוטים להשאיר מכשירי VoIP ומכשירי אינטרנט של הדברים (IoT) ללא ניטור מתאים, מה שמאפשר לשחקני איומים להשיג דריסת רגל בסביבה מבלי להתגלות", כתבו החוקרים.
הפעילות מדגישה את הצורך של ארגונים לנטר את כל המכשירים הפונה כלפי חוץ עבור פעילות זדונית פוטנציאלית, כולל מכשירי VoIP ו-IoT, אמרו חוקרים.
Mitel זיהתה את CVE-2022-29499 ב-19 באפריל וסיפקה סקריפט עבור מהדורות 19.2 SP3 ואילך, ו-R14.x ומעלה כפתרון עוקף לפני שחרור גרסת MiVoice Connect R19.3 ביולי כדי לתקן את הפגם במלואו.
פרטי התקיפה
לורנץ היא קבוצת תוכנות כופר שפעילה לפחות מאז פברואר 2021, וכמו רבים מהקבוצות שלה, מופיעה סחיטה כפולה של קורבנותיה על ידי חילוץ נתונים ואיומים לחשוף אותם באינטרנט אם הקורבנות לא ישלמו את הכופר הרצוי במסגרת זמן מסוימת.
במהלך הרבעון האחרון, הקבוצה פנתה בעיקר לעסקים קטנים ובינוניים (SMBs) הממוקמים בארצות הברית, עם חריגים בסין ובמקסיקו, לפי Arctic Wolf.
בהתקפות שחוקרים זיהו, הפעילות הזדונית הראשונית מקורה במכשיר של Mitel היושב על היקף הרשת. לאחר שהקים מעטפת הפוכה, לורנץ השתמש בממשק שורת הפקודה של מכשיר ה-Mitel כדי ליצור ספרייה נסתרת והמשיך להוריד קובץ בינארי מקופל של Chisel ישירות מ-GitHub, דרך Wget.
לאחר מכן שינו שחקני האיום את שם ה-Binary Chisel ל-"mem", פתחו אותו והוציאו אותו לפועל כדי ליצור חיבור חזרה לשרת Chisel שמאזין ב-hxxps[://]137.184.181[.]252[:]8443, אמרו חוקרים. לורנץ דילג על אימות אישור TLS והפך את הלקוח ל-Proxy SOCKS.
ראוי לציין שלורנץ חיכה כמעט חודש לאחר שפרצה את הרשת הארגונית כדי לבצע פעילות נוספת של תוכנות כופר, אמרו החוקרים. עם החזרה למכשיר Mitel, שחקני איומים קיימו אינטראקציה עם מעטפת אינטרנט בשם "pdf_import_export.php". זמן קצר לאחר מכן, מכשיר ה-Mitel התחיל שוב פגז הפוך ומנהרת אזמל, כך ששחקני איום יוכלו לקפוץ לרשת הארגונית, לפי Arctic Wolf.
לאחר עלייתו לרשת, לורנץ השיג אישורים עבור שני חשבונות מנהלים מורשים, אחד עם הרשאות אדמין מקומי ואחד עם הרשאות מנהל תחום, והשתמש בהם כדי לעבור לרוחב דרך הסביבה באמצעות RDP ולאחר מכן לבקר תחום.
לפני הצפנת קבצים באמצעות תוכנות כופר של BitLocker ולורנץ ב-ESXi, לורנץ סינן נתונים למטרות סחיטה כפולה באמצעות FileZilla, אמרו חוקרים.
הקלה בתקיפה
כדי למתן התקפות שיכולות למנף את הפגם של Mitel להפעלת תוכנות כופר או פעילות איומים אחרת, החוקרים ממליצים לארגונים להחיל את התיקון בהקדם האפשרי.
החוקרים גם הציעו המלצות כלליות להימנע מסיכון ממכשירים היקפיים כדרך להימנע מהנתיבים לרשתות ארגוניות. אחת הדרכים לעשות זאת היא לבצע סריקות חיצוניות כדי להעריך את טביעת הרגל של הארגון ולהקשיח את סביבתו ותנוחת האבטחה שלו, אמרו. זה יאפשר לארגונים לגלות נכסים שמנהלי מערכת אולי לא ידעו עליהם כך שניתן יהיה להגן עליהם, כמו גם לעזור להגדיר את משטח ההתקפה של ארגון על פני מכשירים החשופים לאינטרנט, ציינו חוקרים.
לאחר שכל הנכסים מזוהים, ארגונים צריכים להבטיח שהקריטיים לא יהיו חשופים ישירות לאינטרנט, להסיר מכשיר מההיקף אם הוא לא צריך להיות שם, המליצו חוקרים.
Artic Wolf גם המליץ לארגונים להפעיל רישום מודול, רישום בלוק סקריפט ורישום תעתיק, ולשלוח יומנים לפתרון רישום מרכזי כחלק מתצורת PowerShell Logging שלהם. כמו כן, עליהם לאחסן יומנים שנתפסו באופן חיצוני כדי שיוכלו לבצע ניתוח משפטי מפורט נגד פעולות התחמקות של גורמי איום במקרה של תקיפה.
