Opažena je bila tolpa izsiljevalske programske opreme, ki uporablja edinstveno taktiko začetnega dostopa za izkoriščanje ranljivosti v napravah za prenos glasu prek IP-ja (VoIP) za vdor v telefonske sisteme podjetja, preden se obrne na omrežja podjetja in izvede napade z dvojnim izsiljevanjem.
Raziskovalci iz Artic Wolf Labs so opazili Lorenz skupina za izsiljevalsko programsko opremo izkoriščanje napake v napravah Mitel MiVoice VoIP. Napaka (sledi kot CVE-2022-29499) je bila odkrita aprila in v celoti popravljena julija ter je napaka pri izvajanju kode na daljavo (RCE), ki vpliva na komponento Mitel Service Appliance MiVoice Connect.
Lorenz je napako izkoristil za pridobitev povratne lupine, nakar je skupina uporabila Chisel, hiter tunel TCP/UDP, ki temelji na Golangu in se prenaša prek HTTP, kot orodje za tuneliranje za vdor v poslovno okolje, Raziskovalci arktičnega volka rekel ta teden. Orodje je "predvsem uporabno za prehod skozi požarne zidove," glede na GitHub stran.
Napadi kažejo na razvoj akterjev groženj, ki uporabljajo "manj znana ali nadzorovana sredstva" za dostop do omrežij in izvajajo nadaljnje zlobne dejavnosti, da bi se izognili odkrivanju, pravi Arctic Wolf.
»V trenutnem okolju številne organizacije močno nadzorujejo kritična sredstva, kot so krmilniki domen in spletni strežniki, vendar ponavadi pustijo naprave VoIP in naprave interneta stvari (IoT) brez ustreznega nadzora, kar akterjem groženj omogoča, da se uveljavijo v okolju ne da bi ga zaznali,« so zapisali raziskovalci.
Dejavnost poudarja potrebo po tem, da podjetja spremljajo vse zunanje naprave za morebitno zlonamerno dejavnost, vključno z napravami VoIP in IoT, so povedali raziskovalci.
Mitel je 2022. aprila identificiral CVE-29499-19 in zagotovil skript za izdaje 19.2 SP3 in starejše ter R14.x in starejše kot rešitev, preden je julija izdal MiVoice Connect različico R19.3 za popolno odpravo napake.
Podrobnosti o napadu
Lorenz je skupina za izsiljevalsko programsko opremo, ki je aktivna vsaj od februarja 2021 in tako kot mnoge druge skupine izvaja dvojno izsiljevanje svojih žrtev tako, da izloči podatke in grozi, da jih bo razkril na spletu, če žrtve ne plačajo želene odkupnine v določenem časovnem okviru.
V zadnjem četrtletju je skupina ciljala predvsem na mala in srednja podjetja (SMB) v Združenih državah Amerike, z odstopanji na Kitajskem in v Mehiki, poroča Arctic Wolf.
V napadih, ki so jih identificirali raziskovalci, je začetna zlonamerna dejavnost izvirala iz naprave Mitel, ki je sedela na omrežnem obodu. Ko je vzpostavil obratno lupino, je Lorenz uporabil vmesnik ukazne vrstice naprave Mitel, da je ustvaril skriti imenik in nadaljeval s prenosom prevedene binarne datoteke Chisel neposredno iz GitHuba prek Wget.
Akterji groženj so nato binarno datoteko Chisel preimenovali v »mem«, jo razpakirali in zagnali, da bi vzpostavili povezavo nazaj s strežnikom Chisel, ki posluša na hxxps[://]137.184.181[.]252[:]8443, so povedali raziskovalci. Lorenz je preskočil preverjanje potrdila TLS in odjemalca spremenil v proxy SOCKS.
Treba je omeniti, da je Lorenz čakal skoraj mesec dni po vdoru v korporativno omrežje, da je izvedel dodatno dejavnost izsiljevalske programske opreme, so povedali raziskovalci. Po vrnitvi v napravo Mitel so akterji groženj sodelovali s spletno lupino z imenom »pdf_import_export.php«. Kmalu zatem je naprava Mitel znova sprožila obratno lupino in tunel Chisel, da so akterji groženj lahko skočili na omrežje podjetja, poroča Arctic Wolf.
Ko je bil v omrežju, je Lorenz pridobil poverilnice za dva privilegirana skrbniška računa, enega z lokalnimi skrbniškimi pravicami in enega s skrbniškimi pravicami domene, ter ju uporabil za bočno premikanje po okolju prek RDP in nato do krmilnika domene.
Raziskovalci so povedali, da je Lorenz pred šifriranjem datotek z BitLockerjem in izsiljevalsko programsko opremo Lorenz na ESXi izločil podatke za namene dvojnega izsiljevanja prek FileZille.
Ublažitev napadov
Za ublažitev napadov, ki lahko izkoristijo napako Mitel za zagon izsiljevalske programske opreme ali druge grožnje, raziskovalci priporočajo, da organizacije čim prej namestijo popravek.
Raziskovalci so podali tudi splošna priporočila za izogibanje tveganju zaradi perimetrskih naprav kot način za izogibanje poti do omrežij podjetij. Eden od načinov za to je izvajanje zunanjih pregledov za oceno odtisa organizacije ter utrjevanje njenega okolja in varnostne drže, so povedali. To bo podjetjem omogočilo, da odkrijejo sredstva, za katera skrbniki morda niso vedeli, da bodo lahko zaščitena, prav tako pa bo pomagalo definirati površino napadov organizacije v napravah, ki so izpostavljene internetu, ugotavljajo raziskovalci.
Ko so identificirana vsa sredstva, morajo organizacije zagotoviti, da kritična sredstva niso neposredno izpostavljena internetu, in odstraniti napravo z območja, če ni treba, da je tam, so priporočili raziskovalci.
Artic Wolf je tudi priporočil, da organizacije vklopijo beleženje modulov, beleženje blokov skriptov in beleženje prepisov ter pošljejo dnevnike centralizirani rešitvi za beleženje kot del svoje konfiguracije beleženja PowerShell. Prav tako morajo zajete dnevnike shraniti zunaj, da lahko v primeru napada izvedejo podrobno forenzično analizo proti izogibanju akterjem groženj.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
