Bir fidye yazılımı çetesinin, çift şantaj saldırıları gerçekleştirmek üzere kurumsal ağlara yönelmeden önce, kurumsal telefon sistemlerini ihlal etmek için IP üzerinden ses (VoIP) cihazlarındaki bir güvenlik açığından yararlanmak üzere benzersiz bir ilk erişim taktiği kullandığı görüldü.
Artic Wolf Labs'tan araştırmacılar, Lorenz fidye yazılımı grubu Mitel MiVoice VoIP cihazlarındaki bir kusurdan yararlanma. Hata (olarak izlenen CVE-2022-29499) Nisan'da keşfedildi ve Temmuz'da tamamen yamalandı ve MiVoice Connect'in Mitel Service Appliance bileşenini etkileyen bir uzaktan kod yürütme (RCE) kusurudur.
Lorenz, ters bir kabuk elde etmek için kusurdan yararlandı ve ardından grup, kurumsal ortamı ihlal etmek için bir tünel aracı olarak HTTP üzerinden taşınan Golang tabanlı hızlı bir TCP/UDP tüneli olan Chisel'den yararlandı. Arktik Kurt araştırmacıları bu hafta dedi. Araç, "temel olarak güvenlik duvarlarından geçmek için kullanışlıdır". GitHub sayfası.
Arctic Wolf'a göre saldırılar, tehdit aktörlerinin ağlara erişmek ve tespit edilmekten kaçınmak için daha fazla hain faaliyetler gerçekleştirmek için "daha az bilinen veya izlenen varlıkları" kullanma yönünde bir evrim geçirdiğini gösteriyor.
"Mevcut ortamda birçok kuruluş, etki alanı denetleyicileri ve web sunucuları gibi kritik varlıkları yoğun bir şekilde izliyor ancak VoIP cihazlarını ve Nesnelerin İnterneti (IoT) cihazlarını uygun izleme olmadan bırakma eğiliminde; bu da tehdit aktörlerinin ortamda yer edinmesine olanak tanıyor araştırmacılar, tespit edilmeden "diye yazdı.
Araştırmacılar, etkinliğin, işletmelerin VoIP ve IoT cihazları da dahil olmak üzere potansiyel kötü amaçlı faaliyetlere karşı dışarıya dönük tüm cihazları izleme ihtiyacının altını çizdiğini söyledi.
Mitel, 2022 Nisan'da CVE-29499-19'u belirledi ve kusuru tamamen gidermek için Temmuz ayında MiVoice Connect R19.2 sürümünü yayınlamadan önce geçici bir çözüm olarak 3 SP14 ve önceki sürümler ile R19.3.x ve önceki sürümler için bir komut dosyası sağladı.
Saldırı Detayları
Lorenz, en az Şubat 2021'den beri aktif olan ve kohortlarının çoğu gibi performans gösteren bir fidye yazılımı grubudur. çifte gasp Verileri sızdırarak ve kurbanların istenen fidyeyi belirli bir zaman diliminde ödememesi halinde bunları çevrimiçi ortamda ifşa etme tehdidinde bulunarak kurbanlarının korunmasını sağlıyor.
Arctic Wolf'a göre, son çeyrekte grup öncelikle Amerika Birleşik Devletleri'nde yerleşik küçük ve orta ölçekli işletmeleri (KOBİ'ler) hedef aldı ve Çin ve Meksika'da aykırı değerleri var.
Araştırmacıların belirlediği saldırılarda, ilk kötü amaçlı etkinlik, ağ çevresinde oturan bir Mitel cihazından kaynaklanmıştır. Ters bir kabuk oluşturduktan sonra Lorenz, gizli bir dizin oluşturmak için Mitel cihazının komut satırı arayüzünü kullandı ve Wget aracılığıyla doğrudan GitHub'dan derlenmiş bir Chisel ikili dosyası indirmeye devam etti.
Araştırmacılar, tehdit aktörlerinin daha sonra Chisel ikili dosyasını "mem" olarak yeniden adlandırdığını, sıkıştırılmış dosyayı açtığını ve hxxps[://]137.184.181[.]252[:]8443'ü dinleyen bir Chisel sunucusuna geri bağlantı kurmak için çalıştırdığını söyledi. Lorenz, TLS sertifika doğrulamasını atladı ve istemciyi bir SOCKS proxy'sine dönüştürdü.
Araştırmacılar, Lorenz'in kurumsal ağı ihlal ettikten sonra ek fidye yazılımı faaliyeti yürütmek için yaklaşık bir ay beklediğini belirtmekte fayda var. Tehdit aktörleri, Mitel cihazına döndüklerinde “pdf_import_export.php” adlı bir Web kabuğuyla etkileşime girdi. Arctic Wolf'a göre kısa bir süre sonra Mitel cihazı, tehdit aktörlerinin kurumsal ağa atlayabilmesi için yeniden ters kabuk ve Chisel tüneli başlattı.
Ağa bağlandıktan sonra Lorenz, biri yerel yönetici ayrıcalıklarına ve diğeri etki alanı yönetici ayrıcalıklarına sahip iki ayrıcalıklı yönetici hesabı için kimlik bilgilerini aldı ve bunları RDP yoluyla ortamda ve ardından bir etki alanı denetleyicisine yatay olarak taşımak için kullandı.
Araştırmacılar, ESXi'de BitLocker ve Lorenz fidye yazılımı kullanarak dosyaları şifrelemeden önce, Lorenz'in FileZilla aracılığıyla verileri çifte gasp amacıyla sızdırdığını söyledi.
Saldırı Azaltma
Araştırmacılar, fidye yazılımı veya diğer tehdit etkinliklerini başlatmak için Mitel kusurundan yararlanabilecek saldırıları azaltmak için kuruluşların yamayı mümkün olan en kısa sürede uygulamalarını tavsiye ediyor.
Araştırmacılar ayrıca kurumsal ağlara giden yollardan kaçınmanın bir yolu olarak çevre cihazlarından kaynaklanan risklerden kaçınmak için genel önerilerde bulundu. Bunu yapmanın bir yolunun, bir kuruluşun ayak izini değerlendirmek ve ortamını ve güvenlik duruşunu güçlendirmek için harici taramalar yapmak olduğunu söylediler. Araştırmacılar, bunun kuruluşların yöneticilerin bilmediği varlıkları keşfetmesine ve böylece korunabilmelerine olanak tanıyacağını ve aynı zamanda bir kuruluşun İnternet'e açık cihazlardaki saldırı yüzeyini tanımlamaya yardımcı olacağını belirtti.
Araştırmacılar, tüm varlıklar tanımlandıktan sonra, kuruluşların kritik olanların doğrudan İnternet'e maruz kalmamasını sağlamalı ve orada olması gerekmiyorsa bir cihazı çevreden çıkarmalıdır.
Artic Wolf ayrıca kuruluşların Modül Günlüğü, Komut Dosyası Blok Günlüğü ve Transkripsiyon Günlüğü açmalarını ve PowerShell Günlük Yapılandırmalarının bir parçası olarak günlükleri merkezi bir günlük kaydı çözümüne göndermelerini tavsiye etti. Ayrıca, bir saldırı durumunda tehdit aktörlerinin kaçınma eylemlerine karşı ayrıntılı adli tıp analizi yapabilmek için yakalanan günlükleri harici olarak saklamalıdırlar.
