Widziano gang ransomware wykorzystujący unikalną taktykę początkowego dostępu, aby wykorzystać lukę w zabezpieczeniach urządzeń Voice-over-IP (VoIP) w celu włamania się do korporacyjnych systemów telefonicznych, zanim przeniósł się do sieci korporacyjnych w celu przeprowadzenia ataków podwójnego wymuszenia.
Naukowcy z Artic Wolf Labs zauważyli Grupa oprogramowania ransomware Lorenz wykorzystywanie luki w urządzeniach Mitel MiVoice VoIP. Błąd (śledzony jako CVE-2022-29499) została odkryta w kwietniu i w pełni załatana w lipcu, i jest błędem zdalnego wykonania kodu (RCE) wpływającym na komponent Mitel Service Appliance w MiVoice Connect.
Lorenz wykorzystał tę lukę, aby uzyskać odwrotną powłokę, po czym grupa wykorzystała Chisel, szybki tunel TCP/UDP oparty na Golangu, który jest transportowany przez HTTP, jako narzędzie tunelowania do naruszenia środowiska korporacyjnego. Badacze Arktycznego Wilka powiedział w tym tygodniu. Narzędzie jest „przydatne głównie do przechodzenia przez zapory sieciowe”, zgodnie z Strona GitHub.
Według Arctic Wolf ataki pokazują ewolucję cyberprzestępców, którzy wykorzystują „mniej znane lub monitorowane zasoby” do uzyskiwania dostępu do sieci i wykonywania dalszych nikczemnych działań w celu uniknięcia wykrycia.
„W obecnym środowisku wiele organizacji intensywnie monitoruje krytyczne zasoby, takie jak kontrolery domeny i serwery internetowe, ale zwykle pozostawia urządzenia VoIP i urządzenia Internetu rzeczy (IoT) bez odpowiedniego monitorowania, co umożliwia cyberprzestępcom uzyskanie przyczółka w środowisku bez wykrycia” – napisali naukowcy.
Aktywność ta podkreśla potrzebę monitorowania przez przedsiębiorstwa wszystkich urządzeń skierowanych na zewnątrz pod kątem potencjalnej szkodliwej aktywności, w tym urządzeń VoIP i IoT, stwierdzili naukowcy.
Mitel zidentyfikował CVE-2022-29499 19 kwietnia i dostarczył skrypt dla wydań 19.2 SP3 i wcześniejszych oraz R14.x i wcześniejszych jako obejście przed wydaniem MiVoice Connect w wersji R19.3 w lipcu, aby w pełni naprawić usterkę.
Szczegóły ataku
Lorenz to grupa oprogramowania ransomware, która działa od co najmniej lutego 2021 r. i, podobnie jak wiele jej kohort, wykonuje podwójne wymuszenie swoich ofiar, eksfiltrując dane i grożąc ujawnieniem ich online, jeśli ofiary nie zapłacą żądanego okupu w określonym przedziale czasowym.
Według Arctic Wolf, w ostatnim kwartale grupa skupiała się głównie na małych i średnich przedsiębiorstwach (SMB) zlokalizowanych w Stanach Zjednoczonych, z odstającymi w Chinach i Meksyku.
W atakach zidentyfikowanych przez badaczy początkowa szkodliwa aktywność pochodziła z urządzenia Mitel znajdującego się na obwodzie sieci. Po ustanowieniu odwrotnej powłoki Lorenz wykorzystał interfejs wiersza poleceń urządzenia Mitel, aby utworzyć ukryty katalog i zaczął pobierać skompilowany plik binarny Chisel bezpośrednio z GitHub, za pośrednictwem Wget.
Następnie cyberprzestępcy zmienili nazwę pliku binarnego Chisel na „mem”, rozpakowali go i wykonali, aby nawiązać połączenie z serwerem Chisel nasłuchującym na hxxps[://]137.184.181[.]252[:]8443, powiedzieli naukowcy. Lorenz pominął weryfikację certyfikatu TLS i przekształcił klienta w proxy SOCKS.
Warto zauważyć, że Lorenz czekał prawie miesiąc po naruszeniu sieci korporacyjnej, aby przeprowadzić dodatkową aktywność oprogramowania ransomware, twierdzą naukowcy. Po powrocie do urządzenia Mitel cyberprzestępcy weszli w interakcję z powłoką internetową o nazwie „pdf_import_export.php”. Wkrótce potem urządzenie Mitel ponownie uruchomiło odwróconą powłokę i tunel Chisel, aby cyberprzestępcy mogli wskoczyć do sieci korporacyjnej, według Arctic Wolf.
Po wejściu do sieci Lorenz uzyskał poświadczenia dla dwóch uprzywilejowanych kont administratorów, jednego z uprawnieniami administratora lokalnego, a drugiego z uprawnieniami administratora domeny, i używał ich do przemieszczania się w bok przez środowisko za pośrednictwem protokołu RDP, a następnie do kontrolera domeny.
Naukowcy twierdzą, że przed zaszyfrowaniem plików za pomocą oprogramowania ransomware BitLocker i Lorenz na ESXi, Lorenz eksfiltrował dane w celu podwójnego wymuszenia za pośrednictwem FileZilla.
Łagodzenie ataku
Aby złagodzić ataki, które mogą wykorzystać lukę Mitel do uruchomienia oprogramowania ransomware lub innych zagrożeń, badacze zalecają organizacjom jak najszybsze zastosowanie łaty.
Badacze przedstawili również ogólne zalecenia dotyczące unikania ryzyka związanego z urządzeniami obwodowymi jako sposób na uniknięcie ścieżek do sieci korporacyjnych. Jednym ze sposobów, aby to zrobić, jest wykonanie zewnętrznych skanów, aby ocenić ślad organizacji i wzmocnić jej środowisko i stan bezpieczeństwa, powiedzieli. Naukowcy zauważyli, że pozwoli to przedsiębiorstwom odkryć zasoby, o których administratorzy mogli nie wiedzieć, aby można je było chronić, a także pomóc zdefiniować powierzchnię ataku organizacji na urządzenia wystawione na działanie Internetu.
Po zidentyfikowaniu wszystkich zasobów organizacje powinny upewnić się, że te krytyczne nie są bezpośrednio narażone na Internet, usuwając urządzenie z obwodu, jeśli nie jest potrzebne, zalecali naukowcy.
Firma Artic Wolf zaleciła również, aby organizacje włączyły rejestrowanie modułów, rejestrowanie bloków skryptów i rejestrowanie transkrypcji oraz wysyłały dzienniki do scentralizowanego rozwiązania rejestrującego w ramach konfiguracji rejestrowania programu PowerShell. Powinny również przechowywać przechwycone dzienniki na zewnątrz, aby w przypadku ataku mogły przeprowadzić szczegółową analizę kryminalistyczną pod kątem działań wymijających podejmowanych przez cyberprzestępców.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
