Lorenz Ransomware khai thác hệ thống Mitel VoIP để xâm phạm mạng kinh doanh

Hệ thống VoIP Mitel

Các nhà khai thác đằng sau hoạt động Lornenz đã được quan sát thấy đang khai thác một lỗ hổng bảo mật quan trọng hiện đã được vá trong Mitel MiVoice Connect để có được chỗ đứng trong môi trường mục tiêu cho các hoạt động độc hại tiếp theo.

Các nhà nghiên cứu từ công ty an ninh mạng Arctic Wolf cho biết trong một báo cáo được công bố trong tuần này: “Hoạt động độc hại ban đầu bắt nguồn từ một thiết bị Mitel nằm trên vành đai mạng.

“Lorenz đã khai thác CVE-2022-29499, một lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần Mitel Service Appliance của MiVoice Connect, để có được một trình bao đảo ngược và sau đó sử dụng Chisel làm công cụ đào đường hầm để quay vào môi trường.”

Lorenz, giống như nhiều nhóm ransomware khác, được biết đến với hành vi tống tiền kép bằng cách lấy cắp dữ liệu trước khi mã hóa hệ thống, với mục tiêu là các doanh nghiệp vừa và nhỏ (SMB) đặt tại Hoa Kỳ và ở mức độ thấp hơn ở Trung Quốc và Mexico, vì ít nhất Tháng 2 năm 2021.

Gọi nó là một “ransomware không ngừng phát triển”, lưu ý rằng Lorenz “được cho là một thương hiệu của ransomware ‘.sZ40' được phát hiện vào tháng 10 năm 2020.”

Việc vũ khí hóa các thiết bị Mitel VoIP cho các cuộc tấn công ransomware phản ánh những phát hiện gần đây từ CrowdStrike, tiết lộ chi tiết về một nỗ lực xâm nhập ransomware đã tận dụng cùng một chiến thuật để thực thi mã từ xa chống lại một mục tiêu không tên.

Xem tiếp:   CISA bổ sung 10 lỗ hổng mới được khai thác tích cực vào danh mục của mình

Nhà nghiên cứu bảo mật Kevin Beaumont đã tiết lộ rằng các sản phẩm Mitel VoIP cũng là một điểm đầu vào sinh lợi do có gần 20.000 thiết bị tiếp xúc với internet trực tuyến, khiến chúng dễ bị tấn công bởi mã độc.

Trong một cuộc tấn công ransomware Lorenz do Arctic Wolf điều tra, các tác nhân đe dọa đã vũ khí hóa lỗ hổng thực thi mã từ xa để thiết lập một trình bao đảo ngược và tải xuống tiện ích proxy Chisel.

Điều này ngụ ý rằng quyền truy cập ban đầu hoặc được tạo điều kiện với sự trợ giúp của nhà môi giới truy cập ban đầu (IAB) đang sở hữu hành vi khai thác CVE-2022-29499 hoặc các tác nhân đe dọa có khả năng tự làm như vậy.

Điều đáng chú ý nữa là nhóm Lorenz đã đợi gần một tháng sau khi có được quyền truy cập ban đầu để tiến hành các hành động sau khai thác, bao gồm thiết lập sự bền bỉ bằng cách sử dụng web shell, thu thập thông tin đăng nhập, trinh sát mạng, và di chuyển bên.

Sự thỏa hiệp cuối cùng đã lên đến đỉnh điểm khi sử dụng FileZilla để lọc dữ liệu, sau đó các máy chủ được mã hóa bằng dịch vụ BitLocker của Microsoft, nhấn mạnh việc các đối thủ tiếp tục lạm dụng các mã nhị phân sống động (LOLBIN).

Các nhà nghiên cứu cho biết: “Chỉ giám sát các tài sản quan trọng là không đủ đối với các tổ chức”, đồng thời cho biết thêm “các nhóm bảo mật nên giám sát tất cả các thiết bị đối mặt với bên ngoài để tìm hoạt động nguy hiểm tiềm ẩn, bao gồm cả thiết bị VoIP và IoT.”

Xem tiếp:   Nhân viên Moses Tin tặc nhắm mục tiêu vào các tổ chức của Israel để gián điệp mạng

“Các tác nhân đe dọa đang bắt đầu chuyển hướng nhắm mục tiêu sang các nội dung ít được biết đến hoặc được giám sát để tránh bị phát hiện.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …