Er is gezien dat een ransomwarebende een unieke tactiek voor initiële toegang gebruikt om een kwetsbaarheid in voice-over-IP (VoIP)-apparaten te misbruiken om zakelijke telefoonsystemen te doorbreken, voordat ze naar bedrijfsnetwerken gaan om dubbele afpersingsaanvallen uit te voeren.
Onderzoekers van Artic Wolf Labs hebben de Lorenz ransomware-groep misbruik maken van een fout in Mitel MiVoice VoIP-apparaten. De bug (gevolgd als CVE-2022-29499) werd in april ontdekt en in juli volledig gepatcht, en is een fout in de uitvoering van externe code (RCE) die de Mitel Service Appliance-component van MiVoice Connect treft.
Lorenz maakte gebruik van de fout om een omgekeerde shell te verkrijgen, waarna de groep gebruikmaakte van Chisel, een op Golang gebaseerde snelle TCP/UDP-tunnel die via HTTP wordt getransporteerd, als een tunneltool om de bedrijfsomgeving te doorbreken. Arctic Wolf-onderzoekers zei deze week. De tool is "voornamelijk handig voor het passeren van firewalls", aldus de GitHub-pagina.
De aanvallen laten een evolutie zien door dreigingsactoren om "minder bekende of gecontroleerde activa" te gebruiken om toegang te krijgen tot netwerken en verdere snode activiteiten uit te voeren om detectie te voorkomen, aldus Arctic Wolf.
“In het huidige landschap houden veel organisaties kritisch toezicht op kritieke activa, zoals domeincontrollers en webservers, maar hebben de neiging om VoIP-apparaten en Internet of Things (IoT)-apparaten achter te laten zonder goede monitoring, waardoor bedreigingsactoren voet aan de grond kunnen krijgen in een omgeving zonder ontdekt te worden”, schreven de onderzoekers.
De activiteit onderstreept de noodzaak voor ondernemingen om alle extern gerichte apparaten te controleren op mogelijke kwaadaardige activiteiten, waaronder VoIP- en IoT-apparaten, aldus onderzoekers.
Mitel identificeerde CVE-2022-29499 op 19 april en leverde een script voor releases 19.2 SP3 en eerder en R14.x en eerder als tijdelijke oplossing voordat MiVoice Connect versie R19.3 in juli werd uitgebracht om de fout volledig te verhelpen.
Aanvalsdetails
Lorenz is een ransomware-groep die sinds minstens februari 2021 actief is en, net als veel van zijn cohorten, presteert dubbele afpersing van zijn slachtoffers door gegevens te exfiltreren en te dreigen deze online te publiceren als slachtoffers niet binnen een bepaald tijdsbestek het gewenste losgeld betalen.
Volgens Arctic Wolf heeft de groep zich het afgelopen kwartaal voornamelijk gericht op het midden- en kleinbedrijf (MKB) in de Verenigde Staten, met uitschieters in China en Mexico.
Bij de aanvallen die onderzoekers identificeerden, was de aanvankelijke kwaadaardige activiteit afkomstig van een Mitel-apparaat dat zich op de netwerkperimeter bevond. Nadat Lorenz een omgekeerde shell had gemaakt, maakte hij gebruik van de opdrachtregelinterface van het Mitel-apparaat om een verborgen map te maken en downloadde vervolgens een gecompileerd binair bestand van Chisel rechtstreeks van GitHub, via Wget.
Bedreigingsactoren hernoemden het binaire bestand Chisel vervolgens naar 'mem', pakten het uit en voerden het uit om een verbinding tot stand te brengen met een Chisel-server die luisterde naar hxxps[://]137.184.181[.]252[:]8443, aldus onderzoekers. Lorenz sloeg de TLS-certificaatverificatie over en veranderde de client in een SOCKS-proxy.
Het is vermeldenswaard dat Lorenz bijna een maand wachtte na het doorbreken van het bedrijfsnetwerk om aanvullende ransomware-activiteiten uit te voeren, aldus onderzoekers. Toen ze terugkeerden naar het Mitel-apparaat, communiceerden de bedreigingsactoren met een webshell met de naam "pdf_import_export.php". Kort daarna startte het Mitel-apparaat een omgekeerde shell en Chisel-tunnel opnieuw, zodat bedreigingsactoren op het bedrijfsnetwerk konden springen, aldus Arctic Wolf.
Eenmaal op het netwerk verkreeg Lorenz inloggegevens voor twee geprivilegieerde beheerdersaccounts, een met lokale beheerdersrechten en een met domeinbeheerdersrechten, en gebruikte deze om lateraal door de omgeving te gaan via RDP en vervolgens naar een domeincontroller.
Alvorens bestanden te versleutelen met BitLocker en Lorenz ransomware op ESXi, exfiltreerde Lorenz gegevens voor dubbele afpersing via FileZilla, aldus onderzoekers.
Aanvalbeperking
Om aanvallen te verminderen die de Mitel-fout kunnen gebruiken om ransomware of andere bedreigingsactiviteiten te lanceren, raden onderzoekers organisaties aan de patch zo snel mogelijk toe te passen.
Onderzoekers deden ook algemene aanbevelingen om risico's van perimeter-apparaten te vermijden als een manier om de paden naar bedrijfsnetwerken te vermijden. Een manier om dit te doen, is door externe scans uit te voeren om de voetafdruk van een organisatie te beoordelen en de omgeving en beveiligingshouding te versterken, zeiden ze. Dit stelt bedrijven in staat om activa te ontdekken waarvan beheerders mogelijk niet op de hoogte zijn, zodat ze kunnen worden beschermd, en om het aanvalsoppervlak van een organisatie te bepalen op apparaten die zijn blootgesteld aan internet, merkten onderzoekers op.
Zodra alle activa zijn geïdentificeerd, moeten organisaties ervoor zorgen dat kritieke activa niet direct worden blootgesteld aan internet, door een apparaat uit de perimeter te verwijderen als het daar niet hoeft te zijn, raden onderzoekers aan.
Artic Wolf raadde organisaties ook aan om Module Logging, Script Block Logging en Transcription Logging in te schakelen en logs naar een gecentraliseerde logging-oplossing te sturen als onderdeel van hun PowerShell Logging-configuratie. Ze moeten vastgelegde logboeken ook extern opslaan, zodat ze gedetailleerde forensische analyses kunnen uitvoeren tegen ontwijkende acties door dreigingsactoren in het geval van een aanval.
