Bir fidye yazılımı çetesinin, çifte gasp saldırıları gerçekleştirmek için şirket ağlarına dönmeden önce, kurumsal telefon sistemlerini ihlal etmek için IP üzerinden ses (VoIP) cihazlarındaki bir güvenlik açığından yararlanmak için benzersiz bir ilk erişim taktiği kullandığı görüldü.
Artic Wolf Laboratuarlarından araştırmacılar, Lorenz fidye yazılımı grubunun Mitel MiVoice VoIP cihazlarındaki bir kusurdan yararlandığını tespit etti. Hata (izlenen CVE-2022-29499) Nisan ayında keşfedildi ve Temmuz ayında tamamen yamalandı ve MiVoice Connect’in Mitel Service Appliance bileşenini etkileyen bir uzaktan kod yürütme (RCE) hatasıdır.
Lorenz, ters bir kabuk elde etmek için kusurdan yararlandı, ardından grup, kurumsal ortamı ihlal etmek için bir tünel aracı olarak HTTP üzerinden taşınan Golang tabanlı hızlı bir TCP/UDP tüneli olan Chisel’den yararlandı. Arktik Kurt araştırmacıları dedi bu hafta. Araç, “esas olarak güvenlik duvarlarından geçmek için kullanışlıdır”. GitHub sayfası.
Arctic Wolf’a göre saldırılar, tehdit aktörlerinin ağlara erişmek için “daha az bilinen veya izlenen varlıkları” kullanma ve tespit edilmekten kaçınmak için daha fazla hain faaliyet gerçekleştirme yönünde bir evrim geçirdiğini gösteriyor.
“Mevcut ortamda, birçok kuruluş, etki alanı denetleyicileri ve web sunucuları gibi kritik varlıkları yoğun bir şekilde izliyor, ancak VoIP cihazlarını ve Nesnelerin İnterneti (IoT) cihazlarını uygun izleme olmadan bırakma eğiliminde, bu da tehdit aktörlerinin bir ortama ayak basmasını sağlıyor. tespit edilmeden,” diye yazdı araştırmacılar.
Araştırmacılar, faaliyetin, işletmelerin VoIP ve IoT cihazları da dahil olmak üzere potansiyel kötü amaçlı faaliyetler için harici olarak bakan tüm cihazları izleme ihtiyacının altını çizdiğini söyledi.
Mitel, 19 Nisan’da CVE-2022-29499’u belirledi ve kusuru tamamen gidermek için Temmuz ayında MiVoice Connect sürüm R19.3’ü yayınlamadan önce bir geçici çözüm olarak 19.2 SP3 ve önceki sürümleri ve R14.x ve önceki sürümleri için bir komut dosyası sağladı.
Saldırı Detayları
Lorenz, en az Şubat 2021’den beri aktif olan bir fidye yazılımı grubudur ve kohortlarının çoğu gibi, verileri sızdırarak ve kurbanlar istenen fidyeyi belirli bir süre içinde ödemezlerse çevrimiçi olarak ifşa etmekle tehdit ederek kurbanlarını iki kez gasp eder. zaman aralığı.
Arctic Wolf’a göre, son çeyrekte grup öncelikle ABD’de bulunan küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef aldı ve aykırı değerler Çin ve Meksika’da.
Araştırmacıların tespit ettiği saldırılarda, ilk kötü amaçlı aktivite, ağ çevresinde oturan bir Mitel cihazından kaynaklandı. Lorenz, bir ters kabuk oluşturduktan sonra, gizli bir dizin oluşturmak için Mitel cihazının komut satırı arayüzünü kullandı ve Wget aracılığıyla doğrudan GitHub’dan derlenmiş bir Chisel ikili dosyasını indirmeye devam etti.
Tehdit aktörleri daha sonra Keski ikili dosyasını “mem” olarak yeniden adlandırdı, sıkıştırmasını açtı ve hxxps’de dinleyen bir Keski sunucusuna geri bağlantı kurmak için yürüttü.[://]137.184.181[.]252[:]8443, araştırmacılar söyledi. Lorenz, TLS sertifika doğrulamasını atladı ve istemciyi bir SOCKS proxy’sine dönüştürdü.
Araştırmacılar, Lorenz’in ek fidye yazılımı faaliyeti yürütmek için şirket ağını ihlal ettikten sonra yaklaşık bir ay beklediğini belirtmekte fayda var. Mitel cihazına geri döndükten sonra, tehdit aktörleri “pdf_import_export.php” adlı bir Web kabuğu ile etkileşime girdi. Arctic Wolf’a göre, kısa bir süre sonra, Mitel cihazı bir ters kabuk ve Keski tüneli başlattı, böylece tehdit aktörleri şirket ağına atlayabilirdi.
Ağa girdikten sonra Lorenz, biri yerel yönetici ayrıcalıklarına ve diğeri etki alanı yöneticisi ayrıcalıklarına sahip iki ayrıcalıklı yönetici hesabı için kimlik bilgilerini aldı ve bunları RDP aracılığıyla çevrede ve ardından bir etki alanı denetleyicisine yanal olarak hareket etmek için kullandı.
Araştırmacılar, ESXi’de BitLocker ve Lorenz fidye yazılımı kullanarak dosyaları şifrelemeden önce, Lorenz’in FileZilla aracılığıyla verileri çift gasp amacıyla sızdırdığını söyledi.
Saldırı Azaltma
Fidye yazılımı veya diğer tehdit faaliyetlerini başlatmak için Mitel kusurundan yararlanabilecek saldırıları azaltmak için araştırmacılar, kuruluşların yamayı mümkün olan en kısa sürede uygulamalarını tavsiye ediyor.
Araştırmacılar ayrıca, kurumsal ağlara giden yollardan kaçınmanın bir yolu olarak çevre cihazlarından kaynaklanan risklerden kaçınmak için genel önerilerde bulundular. Bunu yapmanın bir yolu, bir kuruluşun ayak izini değerlendirmek ve ortamını ve güvenlik duruşunu sağlamlaştırmak için harici taramalar yapmak olduğunu söylediler. Araştırmacılar, bu, kuruluşların, korunabilmeleri için yöneticilerin bilmediği varlıkları keşfetmelerine ve ayrıca bir kuruluşun İnternet’e maruz kalan cihazlar arasında saldırı yüzeyini tanımlamaya yardımcı olacağına dikkat çekti.
Araştırmacılar, tüm varlıklar tanımlandıktan sonra, kritik olanların doğrudan İnternet’e maruz kalmamasını sağlamalı ve orada olması gerekmiyorsa bir cihazı çevreden kaldırmalıdır.
Artic Wolf ayrıca kuruluşların Modül Günlüğü, Komut Dosyası Bloğu Günlüğü ve Transkripsiyon Günlüğü’nü açmasını ve günlükleri PowerShell Günlüğü yapılandırmasının bir parçası olarak merkezi bir günlük çözümüne göndermesini tavsiye etti. Ayrıca, bir saldırı durumunda tehdit aktörlerinin kaçınma eylemlerine karşı ayrıntılı adli analiz yapabilmeleri için yakalanan günlükleri harici olarak depolamalıdırlar.
