Программа-вымогатель Lorenz атакует малый и средний бизнес через телефонные системы Mitel VoIP

Было замечено, что банда вымогателей использовала уникальную тактику начального доступа, чтобы использовать уязвимость в устройствах передачи голоса по IP (VoIP) для взлома корпоративных телефонных систем, прежде чем перейти к корпоративным сетям для совершения атак с двойным вымогательством.

Исследователи из Artic Wolf Labs обнаружили Группа вымогателей Lorenz использование уязвимости в VoIP-устройствах Mitel MiVoice. Ошибка (отслеживается как CVE-2022-29499) была обнаружена в апреле и полностью исправлена ​​в июле и представляет собой уязвимость удаленного выполнения кода (RCE), затрагивающую компонент Mitel Service Appliance в MiVoice Connect.

Лоренц воспользовался уязвимостью, чтобы получить обратную оболочку, после чего группа использовала Chisel, быстрый туннель TCP/UDP на основе Golang, который передается по HTTP, в качестве инструмента туннелирования для взлома корпоративной среды. Исследователи арктического волка сказал на этой неделе. По словам специалиста, этот инструмент «в основном полезен для прохождения через межсетевые экраны». Страница GitHub.

По данным Arctic Wolf, эти атаки демонстрируют тенденцию к использованию злоумышленниками «менее известных или отслеживаемых активов» для доступа к сетям и выполнения дальнейших гнусных действий, чтобы избежать обнаружения.

«В нынешней ситуации многие организации тщательно контролируют критически важные активы, такие как контроллеры домена и веб-серверы, но склонны оставлять устройства VoIP и устройства Интернета вещей (IoT) без надлежащего мониторинга, что позволяет злоумышленникам закрепиться в среде. не будучи обнаруженным», — пишут исследователи.

По словам исследователей, эта активность подчеркивает необходимость для предприятий отслеживать все внешние устройства на предмет потенциальной вредоносной активности, включая устройства VoIP и IoT.

Компания Mitel обнаружила CVE-2022-29499 19 апреля и предоставила сценарий для выпусков 19.2 SP3 и более ранних версий, а также R14.x и более ранних версий в качестве обходного пути, прежде чем в июле выпустить MiVoice Connect версии R19.3, чтобы полностью устранить уязвимость.

Детали атаки

Lorenz — это группа программ-вымогателей, которая действует по крайней мере с февраля 2021 года и, как и многие ее коллеги, двойное вымогательство своих жертв, извлекая данные и угрожая опубликовать их в Интернете, если жертвы не заплатят желаемый выкуп в течение определенного периода времени.

По данным Arctic Wolf, за последний квартал группа в основном нацеливалась на малый и средний бизнес (SMB), расположенный в Соединенных Штатах, с исключениями в Китае и Мексике.

В выявленных исследователями атаках первоначальная вредоносная активность исходила от устройства Mitel, расположенного на сетевом периметре. Установив обратную оболочку, Лоренц воспользовался интерфейсом командной строки устройства Mitel для создания скрытого каталога и приступил к загрузке скомпилированного бинарного файла Chisel непосредственно с GitHub через Wget.

Затем злоумышленники переименовали двоичный файл Chisel в «mem», разархивировали его и запустили, чтобы установить обратное соединение с сервером Chisel, прослушивающим hxxps[://]137.184.181[.]252[:]8443, говорят исследователи. Лоренц пропустил проверку сертификата TLS и превратил клиента в прокси-сервер SOCKS.

Стоит отметить, что Лоренц ждал почти месяц после взлома корпоративной сети, чтобы провести дополнительную деятельность по вымогательству, говорят исследователи. Вернувшись на устройство Mitel, злоумышленники взаимодействовали с веб-оболочкой под названием «pdf_import_export.php». По данным Arctic Wolf, вскоре после этого устройство Mitel снова запустило обратную оболочку и туннель Chisel, чтобы злоумышленники могли подключиться к корпоративной сети.

Оказавшись в сети, Лоренц получил учетные данные для двух привилегированных учетных записей администратора, одну с правами локального администратора и одну с правами администратора домена, и использовал их для горизонтального перемещения по среде через RDP, а затем к контроллеру домена.

По словам исследователей, прежде чем шифровать файлы с помощью BitLocker и программы-вымогателя Lorenz на ESXi, Лоренц эксфильтровал данные с целью двойного вымогательства через FileZilla.

Смягчение атаки

Чтобы смягчить атаки, которые могут использовать уязвимость Mitel для запуска программ-вымогателей или других угроз, исследователи рекомендуют организациям установить исправление как можно скорее.

Исследователи также дали общие рекомендации по предотвращению рисков, связанных с устройствами периметра, чтобы избежать путей к корпоративным сетям. По их словам, один из способов сделать это — выполнить внешнее сканирование, чтобы оценить влияние организации и укрепить ее среду и уровень безопасности. Это позволит предприятиям обнаруживать активы, о которых администраторы могли не знать, чтобы их можно было защитить, а также поможет определить поверхность атаки организации на всех устройствах, подключенных к Интернету, отмечают исследователи.

Исследователи рекомендуют после того, как все активы идентифицированы, организациям следует обеспечить, чтобы критически важные из них не подвергались прямому доступу в Интернет, удаляя устройства из периметра, если оно там не требуется.

Artic Wolf также рекомендовал организациям включить ведение журнала модулей, ведение журнала блоков сценариев и ведение журнала транскрипции, а также отправлять журналы в решение для централизованного ведения журнала в рамках своей конфигурации ведения журнала PowerShell. Им также следует хранить перехваченные журналы во внешнем хранилище, чтобы в случае атаки они могли выполнять детальный криминалистический анализ уклончивых действий злоумышленников.