Ett gäng ransomware har setts använda en unik taktik för initial åtkomst för att utnyttja en sårbarhet i voice-over-IP (VoIP)-apparater för att bryta mot företagens telefonsystem, innan de svänger till företagsnätverk för att begå dubbelutpressningsattacker.
Forskare från Artic Wolf Labs har upptäckt Lorenz ransomware-grupp utnyttjar ett fel i Mitel MiVoice VoIP-enheter. Felet (spåras som CVE-2022-29499) upptäcktes i april och korrigerades helt i juli, och är ett fel på fjärrkodexekvering (RCE) som påverkar Mitel Service Appliance-komponenten i MiVoice Connect.
Lorenz utnyttjade felet för att få ett omvänt skal, varefter gruppen utnyttjade Chisel, en Golang-baserad snabb TCP/UDP-tunnel som transporteras över HTTP, som ett tunnlingsverktyg för att bryta mot företagsmiljön, Arctic Wolf forskare sa i veckan. Verktyget är "främst användbart för att passera genom brandväggar," enligt GitHub sida.
Attackerna visar en utveckling av hotaktörer att använda "mindre kända eller övervakade tillgångar" för att komma åt nätverk och utföra ytterligare skändlig aktivitet för att undvika upptäckt, enligt Arctic Wolf.
"I det nuvarande landskapet övervakar många organisationer hårt kritiska tillgångar, såsom domänkontrollanter och webbservrar, men tenderar att lämna VoIP-enheter och Internet of Things (IoT)-enheter utan ordentlig övervakning, vilket gör det möjligt för hotaktörer att få fotfäste i en miljö utan att upptäckas”, skrev forskarna.
Aktiviteten understryker behovet för företag att övervaka alla externt vända enheter för potentiell skadlig aktivitet, inklusive VoIP- och IoT-enheter, sa forskare.
Mitel identifierade CVE-2022-29499 den 19 april och tillhandahöll ett skript för utgåvor 19.2 SP3 och tidigare, och R14.x och tidigare som en lösning innan MiVoice Connect version R19.3 släpptes i juli för att helt åtgärda felet.
Attackdetaljer
Lorenz är en ransomware-grupp som har varit aktiv sedan åtminstone februari 2021, och som många av dess kohorter uppträder dubbel utpressning av sina offer genom att exfiltrera data och hota att avslöja dem online om offren inte betalar den önskade lösensumman inom en viss tidsram.
Under det senaste kvartalet har gruppen främst riktat in sig på små och medelstora företag (SMB) i USA, med extremvärden i Kina och Mexiko, enligt Arctic Wolf.
I attackerna som forskare identifierade, härrörde den initiala skadliga aktiviteten från en Mitel-apparat som satt på nätverkets omkrets. När Lorenz väl etablerat ett omvänt skal, använde sig av Mitel-enhetens kommandoradsgränssnitt för att skapa en dold katalog och fortsatte med att ladda ner en kompilerad binär av Chisel direkt från GitHub, via Wget.
Hotaktörer döpte sedan om Chisel-binären till "mem", packade upp den och körde den för att upprätta en anslutning tillbaka till en Chisel-server som lyssnade på hxxps[://]137.184.181[.]252[:]8443, sa forskare. Lorenz hoppade över TLS-certifikatverifiering och gjorde klienten till en SOCKS-proxy.
Det är värt att notera att Lorenz väntade nästan en månad efter att ha brutit mot företagets nätverk för att genomföra ytterligare ransomware-aktivitet, sa forskare. När de återvände till Mitel-enheten interagerade hotaktörer med ett webbskal som heter "pdf_import_export.php." Kort därefter startade Mitel-enheten ett omvänt skal och en mejseltunnel igen så att hotaktörer kunde hoppa in på företagets nätverk, enligt Arctic Wolf.
Väl på nätverket fick Lorenz referenser för två privilegierade administratörskonton, ett med lokala administratörsbehörigheter och ett med domänadministratörsrättigheter, och använde dem för att flytta i sidled genom miljön via RDP och därefter till en domänkontrollant.
Innan han krypterade filer med BitLocker och Lorenz ransomware på ESXi, exfiltrerade Lorenz data för dubbel utpressning via FileZilla, sa forskare.
Attacklättnad
För att mildra attacker som kan utnyttja Mitel-felet för att lansera ransomware eller annan hotaktivitet, rekommenderar forskare att organisationer tillämpar korrigeringen så snart som möjligt.
Forskare gav också allmänna rekommendationer för att undvika risker från perimeterenheter som ett sätt att undvika vägarna till företagsnätverk. Ett sätt att göra detta är att utföra externa skanningar för att bedöma en organisations fotavtryck och härda dess miljö och säkerhetsställning, sa de. Detta kommer att tillåta företag att upptäcka tillgångar som administratörer kanske inte har känt till så att de kan skyddas, samt hjälpa till att definiera en organisations attackyta över enheter som är exponerade för Internet, noterade forskare.
När alla tillgångar har identifierats bör organisationer se till att kritiska sådana inte exponeras direkt för Internet, ta bort en enhet från omkretsen om den inte behöver vara där, rekommenderade forskare.
Artic Wolf rekommenderade också att organisationer aktiverar modulloggning, skriptblocksloggning och transkriptionsloggning och skickar loggar till en centraliserad loggningslösning som en del av deras PowerShell-loggningskonfiguration. De bör också lagra infångade loggar externt så att de kan utföra detaljerade kriminaltekniska analyser mot undvikande åtgärder av hotaktörer i händelse av en attack.
