Було помічено, що банда програм-вимагачів використовує унікальну тактику початкового доступу, щоб використовувати вразливість у пристроях голосового зв’язку через IP (VoIP) для зламу корпоративних телефонних систем, перш ніж перейти до корпоративних мереж для вчинення атак подвійного вимагання.
Дослідники з Artic Wolf Labs помітили Група програм-вимагачів Lorenz використання недоліку в VoIP-пристроях Mitel MiVoice. Помилка (відстежується як CVE-2022-29499) було виявлено в квітні та повністю виправлено в липні, і є недоліком віддаленого виконання коду (RCE), що впливає на компонент Mitel Service Appliance MiVoice Connect.
Лоренц використав недолік, щоб отримати зворотну оболонку, після чого група використала Chisel, швидкий TCP/UDP-тунель на основі Golang, який передається через HTTP, як інструмент тунелювання для порушення корпоративного середовища, Дослідники Arctic Wolf сказав цього тижня. Інструмент «в основному корисний для проходу через брандмауери», згідно з Сторінка GitHub.
За словами Arctic Wolf, ці атаки свідчать про те, що зловмисники використовують «менш відомі або контрольовані активи» для доступу до мереж і подальшої зловмисної діяльності, щоб уникнути виявлення.
«У нинішній ситуації багато організацій ретельно відстежують критичні активи, такі як контролери домену та веб-сервери, але, як правило, залишають пристрої VoIP і пристрої Інтернету речей (IoT) без належного моніторингу, що дозволяє суб’єктам загрози закріпитися в середовищі. без виявлення», – пишуть дослідники.
За словами дослідників, ця діяльність підкреслює необхідність для підприємств відстежувати всі зовнішні пристрої на предмет потенційної шкідливої діяльності, включаючи пристрої VoIP та IoT.
Mitel ідентифікував CVE-2022-29499 19 квітня та надав сценарій для випусків 19.2 SP3 і раніших версій, а також R14.x і раніших версій як обхідний шлях перед випуском MiVoice Connect версії R19.3 у липні для повного усунення недоліку.
Деталі нападу
Lorenz — це група програм-вимагачів, яка працює принаймні з лютого 2021 року та, як і багато інших її когорт, подвійне вимагання своїх жертв, викрадаючи дані та погрожуючи розкрити їх в Інтернеті, якщо жертви не заплатять бажаний викуп у певний проміжок часу.
Згідно з даними Arctic Wolf, протягом останнього кварталу група в основному націлювалася на малий і середній бізнес (SMBs), розташовані в Сполучених Штатах, з викидами в Китаї та Мексиці.
Під час атак, які виявили дослідники, початкова шкідлива активність виникла з пристрою Mitel, розташованого на периметрі мережі. Після встановлення зворотної оболонки Лоренц використав інтерфейс командного рядка пристрою Mitel, щоб створити прихований каталог і продовжив завантажувати скомпільований двійковий файл Chisel безпосередньо з GitHub через Wget.
За словами дослідників, зловмисники перейменували двійковий файл Chisel на «mem», розархівували його та запустили, щоб встановити з’єднання із сервером Chisel, який слухає hxxps[://]137.184.181[.]252[:]8443. Лоренц пропустив перевірку сертифіката TLS і перетворив клієнта на проксі SOCKS.
Варто зазначити, що Лоренц чекав майже місяць після того, як зламав корпоративну мережу, щоб провести додаткову діяльність з програмами-вимагачами, кажуть дослідники. Повернувшись до пристрою Mitel, зловмисники взаємодіяли з веб-оболонкою під назвою «pdf_import_export.php». Невдовзі після цього пристрій Mitel знову запустив зворотну оболонку та тунель Chisel, щоб зловмисники могли перейти до корпоративної мережі, повідомляє Arctic Wolf.
Опинившись у мережі, Лоренц отримав облікові дані для двох привілейованих облікових записів адміністратора, одного з правами локального адміністратора, а іншого з правами адміністратора домену, і використав їх для переміщення через середовище через RDP, а потім до контролера домену.
За словами дослідників, перед шифруванням файлів за допомогою BitLocker і програми-вимагача Lorenz на ESXi Лоренц викрадав дані з метою подвійного вимагання через FileZilla.
Пом'якшення атаки
Щоб пом’якшити атаки, які можуть використовувати дефект Mitel для запуску програм-вимагачів або інших загроз, дослідники рекомендують організаціям якомога швидше застосувати виправлення.
Дослідники також дали загальні рекомендації щодо уникнення ризику від пристроїв периметра як спосіб уникнути шляхів до корпоративних мереж. За їх словами, один із способів зробити це — виконати зовнішнє сканування, щоб оцінити відбиток організації та посилити її середовище та захист. Це дозволить підприємствам виявляти активи, про які адміністратори могли не знати, щоб їх можна було захистити, а також допоможе визначити поверхню атаки організації на всіх пристроях, підключених до Інтернету, відзначили дослідники.
Після того, як усі активи ідентифіковано, організації повинні переконатися, що критичні активи не піддаються безпосередньому доступу до Інтернету, видаливши пристрій з периметра, якщо він не має бути там, рекомендують дослідники.
Артик Вольф також рекомендував організаціям увімкнути журналювання модулів, журналювання блоків сценаріїв і журналювання транскрипції, а також надсилати журнали до централізованого рішення для журналювання як частину конфігурації журналювання PowerShell. Вони також повинні зберігати захоплені журнали ззовні, щоб вони могли виконувати детальний криміналістичний аналіз щодо ухилення від дій загрозливих суб’єктів у разі атаки.
