랜섬웨어 갱은 이중 갈취 공격을 수행하기 위해 기업 네트워크로 선회하기 전에 VoIP(Voice-over-IP) 어플라이언스의 취약점을 악용하여 기업 전화 시스템을 침해하는 고유한 초기 액세스 전술을 사용하는 것으로 나타났습니다.
Artic Wolf Labs의 연구원들이 발견했습니다. Lorenz 랜섬웨어 그룹 Mitel MiVoice VoIP 어플라이언스의 결함을 악용합니다. 버그(추적 CVE-2022-29499) XNUMX월에 발견되어 XNUMX월에 완전히 패치되었으며 MiVoice Connect의 Mitel 서비스 어플라이언스 구성요소에 영향을 미치는 원격 코드 실행(RCE) 결함입니다.
Lorenz는 이 결함을 악용하여 리버스 셸을 얻었습니다. 그 후 그룹은 기업 환경을 침해하기 위한 터널링 도구로 HTTP를 통해 전송되는 Golang 기반 고속 TCP/UDP 터널인 Chisel을 활용했습니다. 북극 늑대 연구원 이번주 말했다. 이 도구는 "방화벽을 통과하는 데 주로 유용합니다." GitHub 페이지.
Arctic Wolf에 따르면 이 공격은 위협 행위자가 네트워크에 액세스하고 탐지를 피하기 위해 추가로 악의적인 활동을 수행하기 위해 "덜 알려지거나 모니터링되는 자산"을 사용하는 진화를 보여줍니다.
“현재 환경에서 많은 조직이 도메인 컨트롤러 및 웹 서버와 같은 중요한 자산을 과도하게 모니터링하지만 VoIP 장치 및 IoT(사물 인터넷) 장치를 적절한 모니터링 없이 방치하는 경향이 있어 위협 행위자가 환경에 발판을 마련할 수 있습니다. 감지되지 않고"라고 연구원들은 썼습니다.
이 활동은 기업이 VoIP 및 IoT 장치를 포함하여 잠재적인 악성 활동에 대해 외부에 직면한 모든 장치를 모니터링해야 할 필요성을 강조한다고 연구원들은 말했습니다.
Mitel은 2022월 29499일에 CVE-19-19.2를 식별하고 결함을 완전히 수정하기 위해 3월에 MiVoice Connect 버전 R14을 출시하기 전에 해결 방법으로 릴리스 19.3 SPXNUMX 및 이전 버전, RXNUMX.x 및 이전 버전에 대한 스크립트를 제공했습니다.
공격 세부정보
Lorenz는 최소 2021년 XNUMX월부터 활동한 랜섬웨어 그룹으로, 많은 동질 집단과 마찬가지로 다음을 수행합니다. 이중 갈취 피해자가 일정 기간 동안 원하는 몸값을 지불하지 않으면 데이터를 추출하고 온라인에 노출하겠다고 위협함으로써 피해자의
Arctic Wolf에 따르면 지난 분기 동안 이 그룹은 주로 미국에 위치한 중소기업(SMB)을 표적으로 삼았으며 중국과 멕시코에는 예외가 있었습니다.
연구원들이 식별한 공격에서 초기 악성 활동은 네트워크 경계에 있는 Mitel 어플라이언스에서 시작되었습니다. 역 셸을 설정한 후 Lorenz는 Mitel 장치의 명령줄 인터페이스를 사용하여 숨겨진 디렉터리를 만들고 Wget을 통해 GitHub에서 직접 Chisel의 컴파일된 바이너리를 다운로드했습니다.
그런 다음 위협 행위자는 Chisel 바이너리의 이름을 "mem"으로 변경하고 압축을 풀고 이를 실행하여 hxxps[://]137.184.181[.]252[:]8443에서 수신하는 Chisel 서버에 다시 연결을 설정했습니다. Lorenz는 TLS 인증서 확인을 건너뛰고 클라이언트를 SOCKS 프록시로 전환했습니다.
연구원들은 Lorenz가 기업 네트워크에 침입한 후 추가 랜섬웨어 활동을 수행하기 위해 거의 한 달을 기다렸다고 말했습니다. Mitel 장치로 돌아온 위협 행위자는 "pdf_import_export.php"라는 웹 셸과 상호 작용했습니다. 그 직후 Mitel 장치는 역쉘과 치즐 터널을 다시 시작하여 위협 행위자가 기업 네트워크에 뛰어들 수 있도록 했습니다. Arctic Wolf에 따르면.
네트워크에 연결되면 Lorenz는 두 개의 권한 있는 관리자 계정(로컬 관리자 권한이 있는 계정과 도메인 관리자 권한이 있는 계정)에 대한 자격 증명을 얻었고 이를 사용하여 RDP를 통해 환경을 가로질러 이동한 다음 도메인 컨트롤러로 이동했습니다.
연구원들은 ESXi에서 BitLocker 및 Lorenz 랜섬웨어를 사용하여 파일을 암호화하기 전에 Lorenz가 FileZilla를 통해 이중 갈취 목적으로 데이터를 추출했다고 말했습니다.
공격 완화
Mitel 결함을 활용하여 랜섬웨어 또는 기타 위협 활동을 시작할 수 있는 공격을 완화하기 위해 연구원은 조직에서 가능한 한 빨리 패치를 적용할 것을 권장합니다.
연구원들은 또한 기업 네트워크에 대한 경로를 피하기 위한 방법으로 주변 장치로 인한 위험을 피하기 위한 일반적인 권장 사항을 제시했습니다. 이를 수행하는 한 가지 방법은 외부 스캔을 수행하여 조직의 발자국을 평가하고 환경 및 보안 태세를 강화하는 것이라고 그들은 말했습니다. 이를 통해 기업은 관리자가 알지 못하는 자산을 발견하여 보호할 수 있을 뿐만 아니라 인터넷에 노출된 장치 전반에 걸쳐 조직의 공격 표면을 정의하는 데 도움이 될 것이라고 연구원들은 말했습니다.
모든 자산이 식별되면 조직은 중요한 자산이 인터넷에 직접 노출되지 않도록 해야 하며 필요하지 않은 경우 경계에서 장치를 제거해야 한다고 연구원들은 권장했습니다.
Artic Wolf는 또한 조직이 모듈 로깅, 스크립트 블록 로깅 및 전사 로깅을 켜고 PowerShell 로깅 구성의 일부로 중앙 로깅 솔루션에 로그를 보낼 것을 권장했습니다. 또한 캡처한 로그를 외부에 저장하여 공격 시 위협 행위자의 회피 행동에 대한 자세한 포렌식 분석을 수행할 수 있어야 합니다.
