Araştırmacılar, ağ erişimine izin veren güvenlik açıklarını yamalamanın fidye yazılımı saldırılarını önlemek için yeterli olmadığı konusunda uyarıyor. Saldırganların, güvenlik açıklarını kullanarak arka kapı kötü amaçlı yazılım yükledikleri ve kurban güvenlik güncellemelerini uyguladıktan çok sonra bir saldırı başlatmak için hala fırsata sahip oldukları görülmüştür.
İstihbarat ve siber güvenlik danışmanlığı şirketi S-RM’de analistlere göre bilgisayar korsanları, kurbanın ağına erişmek ve Lorenz fidye yazılımı saldırısını başlatmak için bir telefon sistemindeki kritik bir hatayı kullandı.
Arka kapı ve yamalanmış güvenlik açıkları
Bu saldırıyla ilgili bir soruşturma sırasında araştırmacılar, bilgisayar korsanlarının verileri çalmadan ve sistemleri şifrelemeden önce beş ay önce ağı ihlal ettiğini keşfetti. Kurbanın güvenlik açığı için bir yama uygulamasına rağmen, saldırganlar bu güvenlik açığından yararlanmayı başardılar ve yamanın uygulanmasından bir hafta önce bir arka kapı kurdular.
S-RM raporu, “Soruşturma sırasında, ilk erişim vektörünün kurbanın Mitel telefon altyapısı aracılığıyla olduğunu teorileştirdik” dedi.
Siber güvenlik şirketleri Arctic Wolf ve Crowdstrike, Lorenz’in “VOIP.exe” fidye yazılımı ikili adına erişmek için VoIP güvenlik açıklarını kullandığı örnekleri daha önce belgelemişti.
“Ayrıca, arazi dışında yaşayan ikili dosyalardan yararlanan kötü amaçlı süreçlerin, Mitel Shoreline paketi içinde paketlenmiş bir Ruby tercümanı tarafından üretildiğini bulduk – bu, yazılımın kötüye kullanıldığının açık bir işareti. Bilhassa, sistemler mevcut en son güncellemelerle yamalanmıştı, özellikle sistemlere Temmuz ayında CVE-2022-29499 için yama yapılmıştı.”
Arka kapı yerleşimi
İlk olarak, Lorenz fidye yazılımı çetesi, arka kapı kötü amaçlı yazılımını gizleme güvenlik açığına sahip Kanadalı bir telekomünikasyon şirketi olan Mitel’in ağına girdi ve Temmuz 2022’de kusur düzeltilene kadar devre dışı kaldı. Orada beş ay kaldıktan sonra arka kapı, başlatmak için kullanıldı. 48 saat içinde fidye yazılımı ve ağ boyunca yanal olarak hareket edin. Sistem verilerini çaldılar, bir DDoS güçlendirme saldırısı başlattılar ve dosyaları şifrelediler.
Şirket, Nisan 2022’de diğer Mitel ürünlerinin kusurdan etkilenmediğini söyleyen bir güvenlik danışmanlığı yayınladı. Suç çeteleri yenilik yapıyor ve bu yeni teknik, yamalı güvenlik açıkları için muhafızlarını indirirken hedeflerin saldırıya uğradığı bir saklambaç oyununa benziyor.
Yamalı güvenlik açığına yapılan fidye yazılımı saldırısının teknik ayrıntıları
- Kritik güvenlik açığı CVE-2022-29499 istismar edildi
- Sıfır günlük uzaktan kod yürütme kusurunun CVSS v3 puanı 9,8’di
- Mitel VOIP cihazı, ürün sürümü 2 SP3 ve önceki sürümlerin güvenliği ihlal edildi
- Lorenz çetesi, tespit edilmekten kaçınmak için adli tıp teknikleri uyguladı
- Kaynak cihaz, düşük uç nokta algılama yanıt yazılımına sahip Linux tabanlıydı
- Çetenin IP adresi geçersiz Ips 1.1.256.1 ve 2.2.256.2 ile değiştirildi
- Tünel oluşturma/proxy aracı Chisel, VOIP cihazına indirildi ve memdump olarak yeniden adlandırıldı. Bu daha sonra idam edildi.
- Keski ve POST isteği arasındaki etkileşim yanal olarak hareket etmek için kullanıldı.
Etkilenen cihazlardan tüm dosyalar silindi. Yine de CrowdStrike araştırmacıları, vakayı daha fazla incelemek için etkilenen cihazdan adli tıp verilerini kurtardı. Sistemlerden veriler silindikten sonra, Lorenz çetesinin kurtarılan nohup.out dosyasından belirlenen alanın üzerine yazmaya çalıştığını gördüler.
Bu, kurtarılan dosyanın içeriğidir –
rm: ‘/cf/swapfile’ kaldırılamıyor: İşleme izin verilmiyor
dd: ‘/tmp/2’ yazarken hata oluştu: Aygıtta boş alan kalmadı
10666+0 kayıt
10665+0 kayıt çıkışı
11183382528 bayt (11 GB) kopyalandı, 81,3694 sn, 137 MB/s
Boşalan alandaki komutlarından gelen bu veriler, çetenin rm komutunu kullanarak hafızayı silme girişiminden kurtuldu. Ters kabuğu oluşturduktan sonra pdf_import.php adlı bir web kabuğu oluşturdular.
Araştırmacılar, bir yama uygulandıktan veya teklif edildikten sonra bile günlüklerin gözden geçirilmesini tavsiye etti. Yetkisiz erişim ve beklenmeyen trafik için sürekli izleme de önerilir.
Bir erişim işareti, yama uygulanmış bir güvenlik açığının tehdit aktörleri tarafından daha sonra kullanılmak üzere kurulmuş bir arka kapı ile hedef alınmış olabileceğine işaret edebilir.