ランサムウェア ギャングは、独自の初期アクセス戦術を使用して Voice-over-IP (VoIP) アプライアンスの脆弱性を悪用し、企業の電話システムを侵害した後、企業ネットワークに侵入して二重恐喝攻撃を行うことが確認されています。
Artic Wolf Labs の研究者は、 Lorenz ランサムウェア グループ Mitel MiVoice VoIP アプライアンスの脆弱性を悪用。 バグ (として追跡 CVE-2022-29499) XNUMX 月に発見され、XNUMX 月に完全にパッチが適用されました。これは、MiVoice Connect の Mitel サービス アプライアンス コンポーネントに影響するリモート コード実行 (RCE) の欠陥です。
Lorenz はこの欠陥を悪用してリバース シェルを取得し、その後、HTTP 経由で転送される Golang ベースの高速 TCP/UDP トンネルである Chisel を企業環境に侵入するためのトンネリング ツールとして利用しました。 ホッキョクオオカミの研究者 今週言った。 このツールは、「主にファイアウォールを通過するのに役立ちます」と、 GitHubページ.
Arctic Wolf によると、これらの攻撃は、攻撃者が「あまり知られていない、または監視されている資産」を使用してネットワークにアクセスし、さらに悪質な活動を実行して検出を回避するという進化を示しています。
「現在の状況では、多くの組織がドメイン コントローラーや Web サーバーなどの重要な資産を厳重に監視していますが、VoIP デバイスやモノのインターネット (IoT) デバイスを適切な監視なしで放置する傾向があり、脅威アクターが環境に足場を築くことができます。検出されずに」と研究者は書いています。
この活動は、VoIP や IoT デバイスを含む潜在的な悪意のある活動について、企業がすべての外部に面したデバイスを監視する必要性を強調している、と研究者は述べています。
Mitel は 2022 月 29499 日に CVE-19-19.2 を特定し、リリース 3 SP14 以前、および R19.3.x 以前の回避策として、XNUMX 月に MiVoice Connect バージョン RXNUMX をリリースして欠陥を完全に修正するスクリプトを提供しました。
攻撃の詳細
Lorenz は、少なくとも 2021 年 XNUMX 月から活動しているランサムウェア グループであり、その多くのコホートと同様に、 二重恐喝 データを盗み出し、被害者が一定の時間枠内に必要な身代金を支払わない場合、オンラインで公開すると脅迫することで、被害者を攻撃します。
Arctic Wolf によると、このグループは前四半期に、主に米国にある中小企業 (SMB) を標的にしており、中国とメキシコは異常値を示しています。
研究者が特定した攻撃では、最初の悪意のあるアクティビティは、ネットワーク境界にある Mitel アプライアンスから発生していました。 リバース シェルを確立すると、Lorenz は Mitel デバイスのコマンド ライン インターフェイスを使用して隠しディレクトリを作成し、Wget を介して GitHub から直接 Chisel のコンパイル済みバイナリをダウンロードしました。
研究者によると、攻撃者は Chisel バイナリの名前を「mem」に変更して解凍し、それを実行して、hxxps[://]137.184.181[.]252[:]8443 でリッスンしている Chisel サーバーへの接続を確立しました。 Lorenz は TLS 証明書の検証をスキップし、クライアントを SOCKS プロキシに変えました。
Lorenz が企業ネットワークに侵入してから約 XNUMX か月待ってから、追加のランサムウェア アクティビティを実行したことは注目に値します、と研究者は述べています。 Mitel デバイスに戻ると、攻撃者は「pdf_import_export.php」という名前の Web シェルとやり取りしました。 Arctic Wolf によると、その後まもなく、Mitel デバイスはリバース シェルと Chisel トンネルを再び開始し、攻撃者が企業ネットワークに飛び込むことができるようにしました。
ネットワークに接続すると、Lorenz は XNUMX つの特権管理者アカウント (XNUMX つはローカル管理者権限、もう XNUMX つはドメイン管理者権限) の資格情報を取得し、それらを使用して RDP 経由で環境内を横方向に移動し、続いてドメイン コントローラーに移動しました。
研究者によると、ESXi で BitLocker と Lorenz ランサムウェアを使用してファイルを暗号化する前に、Lorenz は FileZilla を介して二重恐喝目的でデータを盗み出していました。
攻撃の緩和
Mitel の欠陥を利用してランサムウェアやその他の脅威活動を開始する攻撃を軽減するために、研究者は、組織ができるだけ早くパッチを適用することを推奨しています。
研究者は、企業ネットワークへの経路を回避する方法として、境界デバイスからのリスクを回避するための一般的な推奨事項も作成しました。 これを行う XNUMX つの方法は、組織のフットプリントを評価し、その環境とセキュリティ体制を強化するために外部スキャンを実行することです、と彼らは言いました。 これにより、企業は、管理者が知らなかった可能性のある資産を発見して保護できるようになるだけでなく、インターネットにさらされているデバイス全体で組織の攻撃対象領域を定義するのにも役立つ、と研究者は述べています。
すべての資産が特定されたら、組織は重要な資産がインターネットに直接公開されないようにし、必要のないデバイスを境界から削除する必要がある、と研究者は推奨しています。
Artic Wolf はまた、組織がモジュール ログ、スクリプト ブロック ログ、および転写ログを有効にし、PowerShell ログ構成の一部としてログを一元化されたログ ソリューションに送信することを推奨しました。 また、攻撃が発生した場合に脅威アクターによる回避アクションに対して詳細なフォレンジック分析を実行できるように、キャプチャしたログを外部に保存する必要があります。