Một băng đảng ransomware đã được chứng kiến sử dụng một chiến thuật truy cập ban đầu duy nhất để khai thác lỗ hổng trong các thiết bị thoại qua IP (VoIP) để xâm phạm hệ thống điện thoại của công ty, trước khi chuyển đến các mạng công ty để thực hiện các cuộc tấn công tống tiền kép.
Các nhà nghiên cứu từ Artic Wolf Labs đã phát hiện ra Nhóm ransomware Lorenz khai thác một lỗ hổng trong thiết bị Mitel MiVoice VoIP. Lỗi (được theo dõi là CVE-2022-29499) đã được phát hiện vào tháng XNUMX và được vá đầy đủ vào tháng XNUMX và là một lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến thành phần Công cụ Dịch vụ Mitel của MiVoice Connect.
Lorenz đã khai thác lỗ hổng để có được một trình bao đảo ngược, sau đó nhóm này sử dụng Chisel, một đường hầm TCP / UDP nhanh dựa trên Golang được vận chuyển qua HTTP, như một công cụ đào hầm để vi phạm môi trường doanh nghiệp, Các nhà nghiên cứu về Sói Bắc Cực cho biết trong tuần này. Theo công cụ này, công cụ này “chủ yếu hữu ích trong việc vượt qua tường lửa”. Trang GitHub.
Theo Arctic Wolf, các cuộc tấn công cho thấy sự tiến triển của các tác nhân đe dọa trong việc sử dụng “các tài sản ít được biết đến hoặc được giám sát” để truy cập vào mạng và thực hiện các hoạt động bất chính hơn nữa để tránh bị phát hiện.
“Trong bối cảnh hiện tại, nhiều tổ chức giám sát chặt chẽ các tài sản quan trọng, chẳng hạn như bộ điều khiển miền và máy chủ web, nhưng có xu hướng để các thiết bị VoIP và thiết bị Internet of Things (IoT) mà không có sự giám sát thích hợp, điều này cho phép các tác nhân đe dọa có được chỗ đứng trong môi trường. mà không bị phát hiện”, các nhà nghiên cứu viết.
Các nhà nghiên cứu cho biết, hoạt động này nhấn mạnh sự cần thiết của các doanh nghiệp trong việc giám sát tất cả các thiết bị hướng ra bên ngoài về hoạt động nguy hiểm tiềm ẩn, bao gồm cả các thiết bị VoIP và IoT.
Mitel đã xác định CVE-2022-29499 vào ngày 19 tháng 19.2 và cung cấp tập lệnh cho các bản phát hành 3 SP14 trở về trước và R19.3.x trở về trước như một giải pháp thay thế trước khi phát hành MiVoice Connect phiên bản RXNUMX vào tháng XNUMX để khắc phục hoàn toàn lỗ hổng.
Chi tiết cuộc tấn công
Lorenz là một nhóm ransomware đã hoạt động ít nhất từ tháng 2021 năm XNUMX, và giống như nhiều nhóm thuần tập của nó, hoạt động tống tiền gấp đôi của nạn nhân bằng cách lọc dữ liệu và đe dọa tiết lộ dữ liệu trực tuyến nếu nạn nhân không trả số tiền chuộc mong muốn trong một khung thời gian nhất định.
Trong quý vừa qua, nhóm chủ yếu nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ (SMB) đặt tại Hoa Kỳ, ngoại trừ ở Trung Quốc và Mexico, theo Arctic Wolf.
Trong các cuộc tấn công mà các nhà nghiên cứu đã xác định, hoạt động độc hại ban đầu bắt nguồn từ một thiết bị Mitel đang đặt trên mạng. Sau khi thiết lập một trình bao đảo ngược, Lorenz đã sử dụng giao diện dòng lệnh của thiết bị Mitel để tạo một thư mục ẩn và tiến hành tải xuống tệp nhị phân đã biên dịch của Chisel trực tiếp từ GitHub, thông qua Wget.
Các nhà nghiên cứu cho biết, các tác nhân đe dọa sau đó đã đổi tên tệp nhị phân Chisel thành “mem”, giải nén nó và thực thi nó để thiết lập kết nối trở lại máy chủ Chisel đang nghe tại hxxps[://]137.184.181[.]252[:]8443, các nhà nghiên cứu cho biết. Lorenz đã bỏ qua xác minh chứng chỉ TLS và biến ứng dụng khách thành proxy SOCKS.
Các nhà nghiên cứu cho biết, điều đáng chú ý là Lorenz đã đợi gần một tháng sau khi xâm nhập vào mạng công ty để tiến hành thêm hoạt động ransomware. Khi quay trở lại thiết bị Mitel, các tác nhân đe dọa đã tương tác với một Web shell có tên “pdf_import_export.php”. Ngay sau đó, thiết bị Mitel lại khởi động một đường hầm đảo ngược và Chisel để các tác nhân đe dọa có thể nhảy vào mạng công ty, theo Arctic Wolf.
Sau khi ở trên mạng, Lorenz đã có được thông tin đăng nhập cho hai tài khoản quản trị viên đặc quyền, một tài khoản có đặc quyền quản trị viên cục bộ và một tài khoản có đặc quyền quản trị miền và sử dụng chúng để di chuyển ngang qua môi trường thông qua RDP và sau đó đến bộ điều khiển miền.
Các nhà nghiên cứu cho biết, trước khi mã hóa các tệp bằng BitLocker và Lorenz ransomware trên ESXi, Lorenz đã lọc dữ liệu cho các mục đích tống tiền kép thông qua FileZilla.
Giảm nhẹ cuộc tấn công
Để giảm thiểu các cuộc tấn công có thể tận dụng lỗ hổng Mitel để khởi chạy ransomware hoặc các hoạt động đe dọa khác, các nhà nghiên cứu khuyến nghị các tổ chức nên áp dụng bản vá càng sớm càng tốt.
Các nhà nghiên cứu cũng đưa ra khuyến nghị chung để tránh rủi ro từ các thiết bị ngoại vi như một cách để tránh các đường dẫn đến mạng công ty. Họ cho biết, một cách để thực hiện điều này là thực hiện quét bên ngoài để đánh giá dấu chân của tổ chức và củng cố môi trường cũng như tình trạng bảo mật của tổ chức đó. Các nhà nghiên cứu lưu ý rằng điều này sẽ cho phép doanh nghiệp khám phá những tài sản mà quản trị viên có thể chưa biết để có thể bảo vệ chúng, cũng như giúp xác định bề mặt tấn công của tổ chức trên các thiết bị tiếp xúc với Internet.
Các nhà nghiên cứu khuyến nghị, sau khi tất cả tài sản được xác định, các tổ chức nên đảm bảo rằng những tài sản quan trọng không được tiếp xúc trực tiếp với Internet, loại bỏ thiết bị khỏi phạm vi nếu nó không cần thiết ở đó.
Artic Wolf cũng khuyến nghị rằng các tổ chức nên bật Ghi nhật ký mô-đun, Ghi nhật ký khối tập lệnh và Ghi nhật ký phiên âm, đồng thời gửi nhật ký đến giải pháp ghi nhật ký tập trung như một phần của cấu hình Ghi nhật ký PowerShell của họ. Họ cũng nên lưu trữ các bản ghi đã được ghi lại bên ngoài để họ có thể thực hiện phân tích pháp y chi tiết chống lại các hành động trốn tránh của các tác nhân đe dọa trong trường hợp bị tấn công.
