Lornenz fidye yazılımı operasyonunun arkasındaki operatörlerin, takip eden kötü niyetli faaliyetler için hedef ortamlara ayak basmak için Mitel MiVoice Connect’te şu anda yamalı kritik bir güvenlik açığından yararlandığı gözlemlendi.
Siber güvenlik firması Arctic Wolf’tan araştırmacılar bu hafta yayınlanan bir raporda, “İlk kötü amaçlı aktivite, ağ çevresinde oturan bir Mitel cihazından kaynaklandı” dedi.
“Lorenz, bir ters kabuk elde etmek için MiVoice Connect’in Mitel Service Appliance bileşenini etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-29499’dan yararlandı ve ardından Chisel’i çevreye dönmek için bir tünel aracı olarak kullandı.”
Lorenz, diğer birçok fidye yazılımı grubu gibi, sistemleri şifrelemeden önce verileri sızdırarak çifte gasp ile tanınır; aktör, ABD’de bulunan küçük ve orta ölçekli işletmeleri (KOBİ’ler) ve en azından bu yana Çin ve Meksika’da daha az ölçüde hedef alır. Şubat 2021.
Buna “sürekli gelişen bir fidye yazılımı” adını veren Cybereason, Lorenz’in “Ekim 2020’de keşfedilen ‘.sZ40’ fidye yazılımının yeniden markalaşması olduğuna inanıldığını” belirtti.
Mitel VoIP cihazlarının fidye yazılımı saldırıları için silahlandırılması, isimsiz bir hedefe karşı uzaktan kod yürütülmesini sağlamak için aynı taktiği kullanan bir fidye yazılımı saldırı girişiminin ayrıntılarını açıklayan CrowdStrike’ın son bulgularını yansıtıyor.
Mitel VoIP ürünleri ayrıca, çevrimiçi olarak yaklaşık 20.000 internete açık cihaz olduğu gerçeği ışığında kazançlı bir giriş noktasıdır. meydana çıkarmak güvenlik araştırmacısı Kevin Beaumont tarafından kötü niyetli saldırılara karşı savunmasız hale getirildi.
Arctic Wolf tarafından araştırılan bir Lorenz fidye yazılımı saldırısında, tehdit aktörleri, ters bir kabuk oluşturmak ve Chisel proxy yardımcı programını indirmek için uzaktan kod yürütme kusurunu silahlandırdı.
Bu, ilk erişimin ya CVE-2022-29499 için bir istismara sahip olan bir ilk erişim komisyoncusu (IAB) yardımıyla kolaylaştırıldığı ya da tehdit aktörlerinin bunu kendilerinin yapabilme yeteneğine sahip olduğu anlamına gelir.
Ayrıca Lorenz grubunun, bir web kabuğu aracılığıyla kalıcılık oluşturma, kimlik bilgilerini toplama, ağ keşfi, ayrıcalık yükseltme ve yanal hareket dahil olmak üzere, sömürü sonrası eylemleri yürütmek için ilk erişimi elde ettikten sonra neredeyse bir ay beklemesi de dikkat çekicidir.
Uzlaşma, nihayetinde FileZilla kullanılarak verilerin sızdırılmasıyla sonuçlandı, ardından ana bilgisayarlar Microsoft’un BitLocker hizmeti kullanılarak şifrelendi ve bu da, arazi dışında yaşayan ikili dosyaların (LOLBIN’ler) düşmanlar tarafından sürekli olarak kötüye kullanıldığının altını çizdi.
Araştırmacılar, “Kurumlar için sadece kritik varlıkları izlemek yeterli değil” diyen araştırmacılar, “güvenlik ekiplerinin VoIP ve IoT cihazları da dahil olmak üzere harici olarak bakan tüm cihazları potansiyel kötü amaçlı etkinlikler için izlemesi gerektiğini” ekledi.
Tehdit aktörleri, tespitten kaçınmak için hedeflemeyi daha az bilinen veya izlenen varlıklara kaydırmaya başlıyor.”