ایک رینسم ویئر گینگ کو کارپوریٹ فون سسٹم کی خلاف ورزی کرنے کے لیے وائس اوور-آئی پی (VoIP) آلات میں کمزوری کا فائدہ اٹھانے کے لیے ابتدائی رسائی کا ایک منفرد حربہ استعمال کرتے ہوئے دیکھا گیا ہے، اس سے پہلے کہ وہ کارپوریٹ نیٹ ورکس کو دوہرے بھتہ خوری کے حملوں کا ارتکاب کرے۔
آرٹک وولف لیبز کے محققین نے دیکھا ہے۔ لورینز رینسم ویئر گروپ Mitel MiVoice VoIP آلات میں خامی کا فائدہ اٹھانا۔ بگ (بطور ٹریک کیا گیا۔ CVE-2022-29499) اپریل میں دریافت کیا گیا تھا اور جولائی میں مکمل طور پر پیچ کیا گیا تھا، اور یہ ایک ریموٹ کوڈ ایگزیکیوشن (RCE) کی خامی ہے جو MiVoice Connect کے Mitel Service Appliance کے جزو کو متاثر کرتی ہے۔
لورینز نے ایک ریورس شیل حاصل کرنے کے لیے اس خامی کا فائدہ اٹھایا، جس کے بعد گروپ نے کارپوریٹ ماحول کی خلاف ورزی کرنے کے لیے ایک سرنگ کے آلے کے طور پر، گولانگ پر مبنی ایک تیز TCP/UDP سرنگ جو HTTP پر منتقل کی جاتی ہے، کا فائدہ اٹھایا، آرکٹک بھیڑیا کے محققین اس ہفتے کہا. ٹول کے مطابق "فائر والز سے گزرنے کے لیے بنیادی طور پر کارآمد ہے۔" GitHub صفحہ.
آرکٹک وولف کے مطابق، حملے نیٹ ورکس تک رسائی کے لیے "کم معلوم یا مانیٹر کیے گئے اثاثوں" کو استعمال کرنے اور پتہ لگانے سے بچنے کے لیے مزید مذموم سرگرمیاں انجام دینے کے لیے دھمکی دینے والے اداکاروں کے ارتقا کو ظاہر کرتے ہیں۔
"موجودہ منظر نامے میں، بہت سی تنظیمیں اہم اثاثوں کی بہت زیادہ نگرانی کرتی ہیں، جیسے کہ ڈومین کنٹرولرز اور ویب سرورز، لیکن مناسب نگرانی کے بغیر VoIP ڈیوائسز اور انٹرنیٹ آف تھنگز (IoT) ڈیوائسز کو چھوڑ دیتے ہیں، جو خطرے کے اداکاروں کو ماحول میں قدم جمانے کے قابل بناتا ہے۔ تلاش کیے بغیر، "محققین نے لکھا۔
محققین نے کہا کہ یہ سرگرمی انٹرپرائزز کو ممکنہ نقصان دہ سرگرمی کے لیے بیرونی طور پر سامنے آنے والے تمام آلات کی نگرانی کرنے کی ضرورت پر زور دیتی ہے، بشمول VoIP اور IoT ڈیوائسز۔
Mitel نے 2022 اپریل کو CVE-29499-19 کی نشاندہی کی اور اس خامی کو مکمل طور پر دور کرنے کے لیے جولائی میں MiVoice Connect ورژن R19.2 کو جاری کرنے سے پہلے 3 SP14 اور اس سے پہلے کے ریلیزز اور R19.3.x اور اس سے پہلے کے لیے ایک اسکرپٹ فراہم کیا۔
حملے کی تفصیلات
لورینز ایک رینسم ویئر گروپ ہے جو کم از کم فروری 2021 سے فعال ہے، اور اپنے بہت سے گروہوں کی طرح، کارکردگی کا مظاہرہ کرتا ہے۔ ڈبل بھتہ خوری اس کے متاثرین کا ڈیٹا نکال کر اور اسے آن لائن بے نقاب کرنے کی دھمکی دے کر اگر متاثرین ایک مخصوص وقت میں مطلوبہ تاوان ادا نہیں کرتے ہیں۔
آرکٹک وولف کے مطابق، پچھلی سہ ماہی کے دوران، گروپ نے بنیادی طور پر امریکہ میں واقع چھوٹے اور درمیانے درجے کے کاروباروں (SMBs) کو نشانہ بنایا ہے، جن میں چین اور میکسیکو میں شامل ہیں۔
ان حملوں میں جن کی محققین نے نشاندہی کی، ابتدائی بدنیتی پر مبنی سرگرمی نیٹ ورک کے دائرے پر بیٹھے ایک Mitel آلات سے شروع ہوئی۔ ایک بار ریورس شیل قائم کرنے کے بعد، لورینز نے ایک پوشیدہ ڈائرکٹری بنانے کے لیے Mitel ڈیوائس کے کمانڈ لائن انٹرفیس کا استعمال کیا اور Wget کے ذریعے GitHub سے براہ راست Chisel کی مرتب کردہ بائنری ڈاؤن لوڈ کرنے کے لیے آگے بڑھا۔
دھمکی دینے والے اداکاروں نے پھر چیزل بائنری کا نام بدل کر "میم" رکھ دیا، اسے ان زپ کیا، اور hxxps[://]137.184.181[.]252[:]8443 پر سننے والے Chisel سرور سے واپس کنکشن قائم کرنے کے لیے اسے انجام دیا۔ لورینز نے TLS سرٹیفکیٹ کی تصدیق کو چھوڑ دیا اور کلائنٹ کو SOCKS پراکسی میں تبدیل کر دیا۔
یہ بات قابل غور ہے کہ لورینز نے کارپوریٹ نیٹ ورک کی خلاف ورزی کے بعد رینسم ویئر کی اضافی سرگرمیاں کرنے کے لیے تقریباً ایک ماہ انتظار کیا، محققین نے کہا۔ Mitel ڈیوائس پر واپس آنے پر، دھمکی دینے والے اداکاروں نے "pdf_import_export.php" نامی ویب شیل کے ساتھ بات چیت کی۔ آرکٹک وولف کے مطابق، اس کے کچھ ہی دیر بعد، Mitel ڈیوائس نے ایک ریورس شیل اور Chisel سرنگ دوبارہ شروع کی تاکہ خطرے والے اداکار کارپوریٹ نیٹ ورک پر چھلانگ لگا سکیں۔
ایک بار نیٹ ورک پر، لورینز نے دو مراعات یافتہ ایڈمنسٹریٹر اکاؤنٹس کے لیے اسناد حاصل کیں، ایک مقامی ایڈمن کی مراعات کے ساتھ اور دوسرا ڈومین ایڈمن کی مراعات کے ساتھ، اور انہیں RDP کے ذریعے ماحول میں دیر سے منتقل کرنے کے لیے استعمال کیا اور اس کے بعد ایک ڈومین کنٹرولر تک۔
محققین نے کہا کہ ESXi پر BitLocker اور Lorenz ransomware کا استعمال کرتے ہوئے فائلوں کو خفیہ کرنے سے پہلے، Lorenz نے FileZilla کے ذریعے دوگنا بھتہ خوری کے مقاصد کے لیے ڈیٹا کو خارج کیا۔
حملے کی تخفیف
ایسے حملوں کو کم کرنے کے لیے جو رینسم ویئر یا دیگر خطرے کی سرگرمی شروع کرنے کے لیے Mitel کی خامی کا فائدہ اٹھا سکتے ہیں، محققین تجویز کرتے ہیں کہ تنظیمیں جلد از جلد پیچ کا اطلاق کریں۔
محققین نے کارپوریٹ نیٹ ورکس کے راستوں سے بچنے کے لیے پیری میٹر ڈیوائسز سے خطرے سے بچنے کے لیے عمومی سفارشات بھی کیں۔ انہوں نے کہا کہ ایسا کرنے کا ایک طریقہ یہ ہے کہ کسی تنظیم کے نقش قدم کا اندازہ لگانے اور اس کے ماحول اور حفاظتی کرنسی کو سخت کرنے کے لیے بیرونی اسکین کریں۔ محققین نے نوٹ کیا کہ یہ کاروباری اداروں کو ایسے اثاثوں کو دریافت کرنے کی اجازت دے گا جن کے بارے میں منتظمین کو معلوم نہیں ہو سکتا ہے تاکہ ان کی حفاظت کی جا سکے، اور ساتھ ہی انٹرنیٹ کے سامنے آنے والے آلات پر تنظیم کے حملے کی سطح کی وضاحت کرنے میں مدد ملے گی۔
ایک بار جب تمام اثاثوں کی شناخت ہو جائے تو، تنظیموں کو اس بات کو یقینی بنانا چاہیے کہ اہم اثاثے براہ راست انٹرنیٹ کے سامنے نہ آئیں، اگر کسی ڈیوائس کو وہاں موجود ہونے کی ضرورت نہ ہو تو اسے ہٹا دیں۔
Artic Wolf نے یہ بھی تجویز کیا کہ تنظیمیں Module Logging، Script Block Logging، اور Transscription Logging کو آن کریں، اور اپنی PowerShell لاگنگ کنفیگریشن کے حصے کے طور پر لاگ ان کو سنٹرلائزڈ لاگنگ سلوشن پر بھیجیں۔ انہیں پکڑے گئے نوشتہ جات کو بیرونی طور پر بھی ذخیرہ کرنا چاہیے تاکہ وہ حملے کی صورت میں دھمکی دینے والے عناصر کی جانب سے مفرور کارروائیوں کے خلاف تفصیلی فرانزک تجزیہ کر سکیں۔
