مشاهده شده است که اپراتورهای پشت عملیات باج افزار Lornenz از یک نقص امنیتی حیاتی وصله شده در Mitel MiVoice Connect برای به دست آوردن جای پایی در محیطهای هدف برای فعالیتهای مخرب بعدی استفاده میکنند.
محققان شرکت امنیت سایبری Arctic Wolf در گزارشی که این هفته منتشر شد، گفتند[۱]: “فعالیت مخرب اولیه از یک دستگاه Mitel که در محیط شبکه نشسته بود، نشات گرفت.”
Lornenz از CVE-2022-29499، یک آسیبپذیری[۲] اجرای کد از راه دور که بر مؤلفه Mitel Service Appliance MiVoice Connect تأثیر میگذارد، برای به دست آوردن reverse shell استفاده کرد و متعاقباً از Chisel بهعنوان ابزار تونلزنی برای pivot به محیط استفاده کرد[۳].»
Lornenz، مانند بسیاری از گروههای باجافزاری دیگر، به دلیل double extortion از طریق exfiltrate دادهها قبل از سیستمهای رمزگذاری، شناخته میشود، بااینکه این بازیگر، حداقل از فوریه ۲۰۲۱ کسبوکارهای کوچک و متوسط (SMB) واقع در ایالاتمتحده، و تا حدی کمتر در چین و مکزیک را هدف قرار میدهد.
Cybereason که آن را یک باجافزار در حال تکامل مینامد، خاطرنشان کرد[۴] که گمان میرود Lornenz یک تغییر نام تجاری باجافزارِ ‘.sZ40’ باشد که در اکتبر ۲۰۲۰ کشف شد.
weaponization ابزارهای VoIP Mitel برای حملات باج افزار منعکسکننده یافتههای اخیر CrowdStrike است که جزئیات یک تلاش برای نفوذ باج افزاری را فاش میکند[۵] که از همان تاکتیک برای دستیابی به اجرای کد از راه دور علیه یک هدف ناشناس استفاده میکند.
محصولات Mitel VoIP همچنین با توجه به این واقعیت که نزدیک به ۲۰۰۰۰ دستگاه در معرض اینترنت آنلاین هستند، همانطور که توسط محقق امنیتی Kevin Beaumont فاش شده است[۶]، یک نقطه ورود سودآور[۷] هستند که آنها را در برابر حملات مخرب آسیبپذیر میکند.
در یک حمله باجافزار Lorenz که توسط Arctic Wolf موردبررسی قرار گرفت، عوامل تهدید نقص اجرای کد از راه دور را برای ایجاد یک پوسته معکوس و دانلود ابزار پروکسی Chisel مورداستفاده قرار دادند.
این بدان معناست که دسترسی اولیه یا با کمک یک واسطه دسترسی اولیه ([۸]IAB) که دارای اکسپلویت برای CVE-2022-29499 است تسهیل شده یا اینکه عوامل تهدید خودشان توانایی انجام این کار را دارند.
نکته قابلتوجه این است که گروه Lornenz تقریباً یک ماه پس از دستیابی به دسترسی اولیه برای انجام اقدامات پس از بهرهبرداری، ازجمله ایجاد پایداری با استفاده از پوسته وب، جمعآوری اعتبار، شناسایی شبکه، افزایش امتیاز و حرکت جانبی، منتظر ماند.
مصالحه درنهایت به استخراج دادهها با استفاده از FileZilla منجر شد، به دنبال آن میزبانها با استفاده از سرویس BitLocker مایکروسافت رمزگذاری شدند، که بر ادامه سوءاستفاده[۹] از باینریهای living-off-the-land یا LOLBIN توسط دشمنان تأکید کرد.
محققان دراینباره گفتند: «تنها نظارت بر داراییهای حیاتی برای سازمانها کافی نیست.» و افزودند: «تیمهای امنیتی باید همه دستگاههای خارجی را ازنظر فعالیتهای مخرب احتمالی، ازجمله دستگاههای VoIP و IoT نظارت کنند».
بازیگران تهدید شروع به تغییر هدفگذاری به داراییهای کمتر شناختهشده یا تحت نظارت برای جلوگیری از شناسایی شدن کردهاند.
منابع
[۱] https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in
[۲] https://www.mitel.com/en-ca/support/security-advisories/mitel-product-security-advisory-22-0002
[۳] https://github.com/jpillora/chisel
[۴] https://www.cybereason.com/blog/research/cybereason-vs.-lorenz-ransomware
[۵] https://thehackernews.com/2022/06/hackers-exploit-mitel-voip-zero-day-bug.html
[۶] https://twitter.com/GossiTheDog/status/1540309810176217088
[۷] https://www.rapid7.com/blog/post/2022/07/07/exploitation-of-mitel-mivoice-connect-sa-cve-2022-29499
[۸] https://thehackernews.com/2022/03/google-uncovers-initial-access-broker.html
[۹] https://thehackernews.com/2022/09/microsoft-warns-of-ransomware-attacks.html
[۱۰] https://thehackernews.com/2022/09/lorenz-ransomware-exploit-mitel-voip.html
ثبت ديدگاه