มีการพบแก๊งแรนซัมแวร์โดยใช้กลวิธีการเข้าถึงเบื้องต้นที่ไม่ซ้ำใครเพื่อใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ Voice-over-IP (VoIP) เพื่อเจาะระบบโทรศัพท์ขององค์กร ก่อนที่จะเปลี่ยนไปใช้เครือข่ายองค์กรเพื่อทำการโจมตีแบบ double-extortion
นักวิจัยจาก Artic Wolf Labs ได้พบ Lorenz ransomware กรุ๊ป ใช้ประโยชน์จากข้อบกพร่องในอุปกรณ์ Mitel MiVoice VoIP บั๊ก (ติดตามเป็น CVE-2022-29499) ถูกค้นพบในเดือนเมษายนและได้รับการแก้ไขอย่างสมบูรณ์ในเดือนกรกฎาคม และเป็นข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ส่งผลต่อส่วนประกอบ Mitel Service Appliance ของ MiVoice Connect
Lorenz ใช้ประโยชน์จากจุดบกพร่องเพื่อให้ได้เปลือกย้อนกลับ หลังจากนั้นกลุ่มได้ใช้ประโยชน์จาก Chisel ซึ่งเป็นอุโมงค์ข้อมูล TCP/UDP ที่รวดเร็วของ Golang ที่ขนส่งผ่าน HTTP เป็นเครื่องมือสร้างอุโมงค์เพื่อละเมิดสภาพแวดล้อมขององค์กร นักวิจัย Arctic Wolf กล่าวในสัปดาห์นี้ เครื่องมือนี้ “มีประโยชน์อย่างยิ่งในการส่งผ่านไฟร์วอลล์” อ้างอิงจาก หน้า GitHub.
การโจมตีแสดงให้เห็นถึงวิวัฒนาการโดยผู้คุกคามในการใช้ “ทรัพย์สินที่รู้จักหรือตรวจสอบน้อยกว่า” เพื่อเข้าถึงเครือข่ายและดำเนินกิจกรรมที่ชั่วร้ายเพิ่มเติมเพื่อหลีกเลี่ยงการตรวจจับ ตามข้อมูลของ Arctic Wolf
“ในภูมิทัศน์ปัจจุบัน หลายองค์กรเฝ้าติดตามทรัพย์สินที่สำคัญ เช่น ตัวควบคุมโดเมนและเว็บเซิร์ฟเวอร์ แต่มักจะปล่อยให้อุปกรณ์ VoIP และอุปกรณ์ Internet of Things (IoT) ไม่มีการเฝ้าติดตามอย่างเหมาะสม ซึ่งช่วยให้ผู้คุกคามเข้าสู่สภาพแวดล้อมได้ โดยไม่ถูกตรวจพบ” นักวิจัยเขียน
กิจกรรมดังกล่าวตอกย้ำความจำเป็นที่องค์กรต่างๆ จะต้องตรวจสอบอุปกรณ์ที่เผชิญภายนอกทั้งหมดเพื่อหากิจกรรมที่อาจเป็นอันตราย ซึ่งรวมถึงอุปกรณ์ VoIP และ IoT นักวิจัยกล่าว
Mitel ระบุ CVE-2022-29499 เมื่อวันที่ 19 เมษายน และจัดเตรียมสคริปต์สำหรับรีลีส 19.2 SP3 และรุ่นก่อนหน้า และ R14.x และรุ่นก่อนหน้าเพื่อเป็นวิธีแก้ปัญหาก่อนที่จะปล่อย MiVoice Connect เวอร์ชัน R19.3 ในเดือนกรกฎาคมเพื่อแก้ไขข้อบกพร่องอย่างสมบูรณ์
รายละเอียดการโจมตี
Lorenz เป็นกลุ่ม ransomware ที่มีการใช้งานตั้งแต่อย่างน้อยเดือนกุมภาพันธ์ 2021 และเช่นเดียวกับกลุ่มอื่น ๆ ที่ทำงาน กรรโชกสองครั้ง ของเหยื่อโดยการกรองข้อมูลและขู่ว่าจะเปิดเผยข้อมูลทางออนไลน์หากเหยื่อไม่จ่ายค่าไถ่ที่ต้องการในกรอบเวลาหนึ่ง
ในช่วงไตรมาสที่แล้ว กลุ่มบริษัทได้กำหนดเป้าหมายไปที่ธุรกิจขนาดเล็กและขนาดกลาง (SMB) ที่ตั้งอยู่ในสหรัฐอเมริกาเป็นหลัก โดยมีเป้าหมายหลักในจีนและเม็กซิโก ตามข้อมูลของ Arctic Wolf
ในการโจมตีที่นักวิจัยระบุ กิจกรรมที่เป็นอันตรายเริ่มต้นมาจากอุปกรณ์ Mitel ที่อยู่บนขอบของเครือข่าย เมื่อสร้าง reverse shell แล้ว Lorenz ได้ใช้อินเทอร์เฟซบรรทัดคำสั่งของอุปกรณ์ Mitel เพื่อสร้างไดเร็กทอรีที่ซ่อนอยู่ และดำเนินการดาวน์โหลดไบนารีที่คอมไพล์แล้วของ Chisel ได้โดยตรงจาก GitHub ผ่าน Wget
จากนั้นผู้คุกคามได้เปลี่ยนชื่อไบนารีของสิ่วเป็น "mem" คลายซิปและดำเนินการเพื่อสร้างการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ Chisel ที่ฟังที่ hxxps [://]137.184.181[.]252[:]8443 นักวิจัยกล่าว Lorenz ข้ามการตรวจสอบใบรับรอง TLS และเปลี่ยนไคลเอ็นต์ให้เป็นพร็อกซี SOCKS
เป็นที่น่าสังเกตว่า Lorenz รอเกือบหนึ่งเดือนหลังจากเจาะเครือข่ายองค์กรเพื่อดำเนินกิจกรรมแรนซัมแวร์เพิ่มเติม นักวิจัยกล่าว เมื่อกลับมาที่อุปกรณ์ Mitel ผู้คุกคามโต้ตอบกับ Web Shell ชื่อ “pdf_import_export.php” หลังจากนั้นไม่นาน อุปกรณ์ Mitel ก็เริ่มเปลือกย้อนกลับและอุโมงค์สิ่วอีกครั้งเพื่อให้ผู้คุกคามสามารถกระโดดเข้าสู่เครือข่ายขององค์กรได้ตามข้อมูลของ Arctic Wolf
เมื่ออยู่บนเครือข่ายแล้ว Lorenz ได้รับข้อมูลประจำตัวสำหรับบัญชีผู้ดูแลระบบที่มีสิทธิพิเศษสองบัญชี บัญชีหนึ่งมีสิทธิ์ของผู้ดูแลระบบในพื้นที่ และอีกบัญชีหนึ่งมีสิทธิ์ของผู้ดูแลระบบโดเมน และใช้เพื่อย้ายไปยังสภาพแวดล้อมด้านข้างผ่าน RDP และต่อมาไปยังตัวควบคุมโดเมน
ก่อนการเข้ารหัสไฟล์โดยใช้ BitLocker และ Lorenz ransomware บน ESXi Lorenz ได้ขโมยข้อมูลเพื่อจุดประสงค์ในการกรรโชกสองครั้งผ่าน FileZilla นักวิจัยกล่าว
การบรรเทาการโจมตี
เพื่อลดการโจมตีที่สามารถใช้ประโยชน์จากข้อบกพร่องของ Mitel เพื่อเรียกใช้แรนซัมแวร์หรือกิจกรรมภัยคุกคามอื่นๆ นักวิจัยแนะนำให้องค์กรต่างๆ ใช้โปรแกรมแก้ไขโดยเร็วที่สุด
นักวิจัยยังได้ให้คำแนะนำทั่วไปเพื่อหลีกเลี่ยงความเสี่ยงจากอุปกรณ์ปริมณฑลเพื่อหลีกเลี่ยงเส้นทางสู่เครือข่ายขององค์กร วิธีหนึ่งในการทำเช่นนี้คือทำการสแกนภายนอกเพื่อประเมินรอยเท้าขององค์กร และทำให้สภาพแวดล้อมและความปลอดภัยแข็งแกร่งขึ้น พวกเขากล่าว นักวิจัยตั้งข้อสังเกต วิธีนี้จะช่วยให้องค์กรต่างๆ ค้นพบสินทรัพย์ที่ผู้ดูแลระบบอาจไม่รู้จัก เพื่อให้สามารถป้องกันได้ รวมทั้งช่วยกำหนดพื้นผิวการโจมตีขององค์กรในอุปกรณ์ต่างๆ ที่เปิดเผยต่ออินเทอร์เน็ต
เมื่อมีการระบุสินทรัพย์ทั้งหมดแล้ว องค์กรควรตรวจสอบให้แน่ใจว่าเนื้อหาที่สำคัญจะไม่ถูกเปิดเผยโดยตรงต่ออินเทอร์เน็ต นำอุปกรณ์ออกจากขอบเขตหากไม่จำเป็นต้องอยู่ที่นั่น นักวิจัยแนะนำ
Artic Wolf ยังแนะนำให้องค์กรเปิดการบันทึกโมดูล การบันทึกบล็อกสคริปต์ และการบันทึกการถอดเสียง และส่งบันทึกไปยังโซลูชันการบันทึกแบบรวมศูนย์ซึ่งเป็นส่วนหนึ่งของการกำหนดค่า PowerShell Logging พวกเขาควรจัดเก็บบันทึกที่ถูกจับไว้ภายนอกเพื่อให้สามารถทำการวิเคราะห์ทางนิติเวชโดยละเอียดต่อการกระทำที่หลบเลี่ยงโดยผู้คุกคามในกรณีที่มีการโจมตี
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
