Les opérateurs à l’origine de l’opération de rançongiciel Lornenz ont été observés en train d’exploiter une faille de sécurité critique désormais corrigée dans Mitel MiVoice Connect pour prendre pied dans des environnements cibles pour des activités malveillantes ultérieures.
« L’activité malveillante initiale provenait d’un appareil Mitel installé sur le périmètre du réseau », ont déclaré des chercheurs de la société de cybersécurité Arctic Wolf. a dit dans un rapport publié cette semaine.
« Lorenz a exploité CVE-2022-29499une vulnérabilité d’exécution de code à distance impactant le composant Mitel Service Appliance de MiVoice Connect, pour obtenir un reverse shell et ensuite utilisé Ciseau comme un outil de creusement de tunnel pour pivoter dans l’environnement. »
Lorenz, comme de nombreux autres groupes de rançongiciels, est connu pour son double extorsion en exfiltrant des données avant de chiffrer les systèmes, l’acteur ciblant les petites et moyennes entreprises (PME) situées aux États-Unis, et dans une moindre mesure en Chine et au Mexique, depuis au moins Février 2021.
Le qualifiant de « ransomware en constante évolution », Cybereason c’est noté que Lorenz « serait un changement de marque du rançongiciel ‘.sZ40’ qui a été découvert en octobre 2020 ».
La militarisation des appliances Mitel VoIP pour les attaques de ransomware reflète les récentes découvertes de CrowdStrike, qui ont révélé les détails d’une tentative d’intrusion de ransomware qui a utilisé la même tactique pour exécuter du code à distance contre une cible sans nom.
Les produits Mitel VoIP sont également un point d’entrée lucratif compte tenu du fait qu’il existe près de 20 000 appareils exposés à Internet en ligne, comme révélé par le chercheur en sécurité Kevin Beaumont, les rendant vulnérables aux attaques malveillantes.
Dans une attaque de rançongiciel Lorenz étudiée par Arctic Wolf, les acteurs de la menace ont militarisé la faille d’exécution de code à distance pour établir un shell inversé et télécharger l’utilitaire proxy Chisel.
Cela implique que l’accès initial a été facilité avec l’aide d’un courtier d’accès initial (IAB) qui est en possession d’un exploit pour CVE-2022-29499 ou que les acteurs de la menace ont la capacité de le faire eux-mêmes.
Ce qui est également remarquable, c’est que le groupe Lorenz a attendu près d’un mois après avoir obtenu l’accès initial pour mener des actions post-exploitation, y compris l’établissement de la persistance au moyen d’un shell Web, la collecte des informations d’identification, la reconnaissance du réseau, l’escalade des privilèges et le mouvement latéral.
Le compromis a finalement abouti à l’exfiltration de données à l’aide de FileZilla, après quoi les hôtes ont été cryptés à l’aide du service BitLocker de Microsoft, soulignant l’abus continu des binaires vivant hors de la terre (LOLBIN) par les adversaires.
« Surveiller uniquement les actifs critiques ne suffit pas pour les organisations », ont déclaré les chercheurs, ajoutant que « les équipes de sécurité devraient surveiller tous les appareils externes pour détecter toute activité malveillante potentielle, y compris les appareils VoIP et IoT ».
« Les acteurs de la menace commencent à déplacer le ciblage vers des actifs moins connus ou surveillés pour éviter d’être détectés. »