En løsepengevaregjeng har blitt sett som bruker en unik taktikk for førstegangstilgang for å utnytte en sårbarhet i voice-over-IP (VoIP)-enheter for å bryte bedriftens telefonsystemer, før de svinger til bedriftsnettverk for å begå dobbeltutpressingsangrep.
Forskere fra Artic Wolf Labs har oppdaget Lorenz løsepengevaregruppe utnytte en feil i Mitel MiVoice VoIP-enheter. Feilen (spores som CVE-2022-29499) ble oppdaget i april og fullstendig korrigert i juli, og er en RCE-feil (Remote Code execution) som påvirker Mitel Service Appliance-komponenten til MiVoice Connect.
Lorenz utnyttet feilen for å få et omvendt skall, hvoretter gruppen utnyttet Chisel, en Golang-basert rask TCP/UDP-tunnel som transporteres over HTTP, som et tunnelverktøy for å bryte bedriftsmiljøet, Arctic Wolf-forskere sa denne uken. Verktøyet er "hovedsakelig nyttig for å passere gjennom brannmurer," ifølge GitHub side.
Angrepene viser en utvikling fra trusselaktører til å bruke «mindre kjente eller overvåkede eiendeler» for å få tilgang til nettverk og utføre ytterligere ondsinnet aktivitet for å unngå oppdagelse, ifølge Arctic Wolf.
«I det nåværende landskapet overvåker mange organisasjoner sterkt kritiske eiendeler, som domenekontrollere og nettservere, men har en tendens til å la VoIP-enheter og Internet of Things (IoT)-enheter være uten skikkelig overvåking, noe som gjør det mulig for trusselaktører å få fotfeste i et miljø uten å bli oppdaget», skrev forskerne.
Aktiviteten understreker behovet for bedrifter å overvåke alle eksternt vendte enheter for potensiell ondsinnet aktivitet, inkludert VoIP- og IoT-enheter, sa forskere.
Mitel identifiserte CVE-2022-29499 19. april og ga et skript for utgivelser 19.2 SP3 og tidligere, og R14.x og tidligere som en løsning før MiVoice Connect-versjon R19.3 ble utgitt i juli for å rette opp feilen fullstendig.
Angrepsdetaljer
Lorenz er en løsepengevaregruppe som har vært aktiv siden minst februar 2021, og som mange av gruppene deres opptrer dobbel utpressing av ofrene ved å eksfiltrere data og true med å avsløre dem på nettet hvis ofrene ikke betaler ønsket løsepenger innen en viss tidsramme.
I løpet av det siste kvartalet har gruppen primært rettet seg mot små og mellomstore bedrifter (SMB) lokalisert i USA, med uteliggere i Kina og Mexico, ifølge Arctic Wolf.
I angrepene som forskerne identifiserte, stammet den første ondsinnede aktiviteten fra et Mitel-apparat som satt på nettverkets omkrets. Etter å ha etablert et omvendt skall, brukte Lorenz Mitel-enhetens kommandolinjegrensesnitt for å lage en skjult katalog og fortsatte med å laste ned en kompilert binær av Chisel direkte fra GitHub, via Wget.
Trusselaktører omdøpte deretter Chisel-binæren til "mem", pakket den ut og utførte den for å etablere en tilkobling tilbake til en Chisel-server som lyttet til hxxps[://]137.184.181[.]252[:]8443, sa forskere. Lorenz hoppet over TLS-sertifikatverifisering og gjorde klienten om til en SOCKS-proxy.
Det er verdt å merke seg at Lorenz ventet nesten en måned etter å ha brutt bedriftsnettverket for å utføre ytterligere løsepengeprogram, sa forskere. Da han kom tilbake til Mitel-enheten, samhandlet trusselaktører med et web-skall kalt "pdf_import_export.php." Kort tid etter startet Mitel-enheten et omvendt skall og meiseltunnel igjen, slik at trusselaktører kunne hoppe inn på bedriftsnettverket, ifølge Arctic Wolf.
En gang på nettverket skaffet Lorenz legitimasjon for to privilegerte administratorkontoer, en med lokale administratorrettigheter og en med domeneadministratorrettigheter, og brukte dem til å bevege seg sideveis gjennom miljøet via RDP og deretter til en domenekontroller.
Før han krypterte filer med BitLocker og Lorenz løsepengevare på ESXi, eksfiltrerte Lorenz data for dobbeltutpressingsformål via FileZilla, sa forskere.
Angrepsredusering
For å redusere angrep som kan utnytte Mitel-feilen til å lansere løsepengevare eller annen trusselaktivitet, anbefaler forskere at organisasjoner tar i bruk oppdateringen så snart som mulig.
Forskere kom også med generelle anbefalinger for å unngå risiko fra perimeterenheter som en måte å unngå veiene til bedriftsnettverk. En måte å gjøre dette på er å utføre eksterne skanninger for å vurdere en organisasjons fotavtrykk og herde miljøet og sikkerhetsstillingen, sa de. Dette vil tillate bedrifter å oppdage eiendeler som administratorer kanskje ikke har visst om, slik at de kan beskyttes, samt bidra til å definere en organisasjons angrepsoverflate på tvers av enheter eksponert for Internett, bemerket forskere.
Når alle eiendeler er identifisert, bør organisasjoner sørge for at kritiske ikke blir direkte eksponert for Internett, og fjerne en enhet fra omkretsen hvis den ikke trenger å være der, anbefalte forskere.
Artic Wolf anbefalte også at organisasjoner slår på modullogging, skriptblokklogging og transkripsjonslogging, og sender logger til en sentralisert loggingsløsning som en del av deres PowerShell Logging-konfigurasjon. De bør også lagre innfangede logger eksternt slik at de kan utføre detaljerte rettsmedisinske analyser mot unnvikende handlinger fra trusselaktører i tilfelle et angrep.
