Lornenz fidye yazılımı operasyonunun arkasındaki operatörlerin, takip eden kötü niyetli faaliyetler için hedef ortamlara ayak basmak için Mitel MiVoice Connect’te şu anda yamalı kritik bir güvenlik açığından yararlandığı gözlemlendi.
Siber güvenlik firması Arctic Wolf’tan araştırmacılar, “İlk kötü amaçlı aktivite, ağ çevresinde oturan bir Mitel cihazından kaynaklandı” söz konusu Bu hafta yayınlanan bir raporda.
“Lorenz sömürdü CVE-2022-29499bir ters kabuk elde etmek için MiVoice Connect’in Mitel Service Appliance bileşenini etkileyen ve ardından kullanılan bir uzaktan kod yürütme güvenlik açığı keski çevreye dönmek için bir tünel açma aracı olarak.”
Lorenz, diğer birçok fidye yazılımı grubu gibi, sistemleri şifrelemeden önce verileri sızdırarak çifte gasp ile tanınır; aktör, ABD’de bulunan küçük ve orta ölçekli işletmeleri (KOBİ’ler) ve en azından bu yana Çin ve Meksika’da daha az ölçüde hedef alır. Şubat 2021.
Cybereason, “sürekli gelişen fidye yazılımı” olarak adlandırıyor. kayıt edilmiş Lorenz’in “Ekim 2020’de keşfedilen ‘.sZ40’ fidye yazılımının yeniden markalaşması olduğuna inanılıyor.”
Mitel VoIP cihazlarının fidye yazılımı saldırıları için silahlandırılması, isimsiz bir hedefe karşı uzaktan kod yürütülmesini sağlamak için aynı taktiği kullanan bir fidye yazılımı saldırı girişiminin ayrıntılarını açıklayan CrowdStrike’ın son bulgularını yansıtıyor.
Mitel VoIP ürünleri aynı zamanda bir kazançlı giriş noktası Çevrimiçi olarak yaklaşık 20.000 internete maruz kalan cihaz olduğu gerçeği ışığında, meydana çıkarmak güvenlik araştırmacısı Kevin Beaumont tarafından kötü niyetli saldırılara karşı savunmasız hale getirildi.
Arctic Wolf tarafından araştırılan bir Lorenz fidye yazılımı saldırısında, tehdit aktörleri, ters bir kabuk oluşturmak ve Chisel proxy yardımcı programını indirmek için uzaktan kod yürütme kusurunu silahlandırdı.
Bu, ilk erişimin ya CVE-2022-29499 için bir istismara sahip olan bir ilk erişim komisyoncusu (IAB) yardımıyla kolaylaştırıldığı ya da tehdit aktörlerinin bunu kendilerinin yapabilme yeteneğine sahip olduğu anlamına gelir.
Ayrıca Lorenz grubunun, bir web kabuğu aracılığıyla kalıcılık oluşturma, kimlik bilgilerini toplama, ağ keşfi, ayrıcalık yükseltme ve yanal hareket dahil olmak üzere, sömürü sonrası eylemleri yürütmek için ilk erişimi elde ettikten sonra neredeyse bir ay beklemesi de dikkat çekicidir.
Uzlaşma, nihayetinde FileZilla kullanılarak verilerin sızdırılmasıyla sonuçlandı, ardından ana bilgisayarlar Microsoft’un BitLocker hizmeti kullanılarak şifrelendi ve bu da, arazi dışında yaşayan ikili dosyaların (LOLBIN’ler) düşmanlar tarafından sürekli olarak kötüye kullanıldığının altını çizdi.
Araştırmacılar, “Kurumlar için sadece kritik varlıkları izlemek yeterli değil” diyen araştırmacılar, “güvenlik ekiplerinin VoIP ve IoT cihazları da dahil olmak üzere harici olarak bakan tüm cihazları potansiyel kötü amaçlı etkinlikler için izlemesi gerektiğini” ekledi.
Tehdit aktörleri, tespitten kaçınmak için hedeflemeyi daha az bilinen veya izlenen varlıklara kaydırmaya başlıyor.”