Lorenz 勒索软件团伙正在利用 Mitel VoIP 设备中的漏洞来破坏公司网络。
网络安全公司北极狼实验室的威胁猎手最近发现,洛伦兹——一个至少从 2021 年初开始存在并且最近主要针对美国、中国和墨西哥的中小型企业的多产组织——使用了一个漏洞 ( CVE-2022-29499 )在 Mitel 的 MiVoice VoIP 设备中进入受害者的网络,然后部署 Microsoft 的 BitLocker 驱动器加密工具来加密数据。
Shodan search to find Mitel boxes:http.html_hash:-1971546278Presentation online has roughly doubled in 5 years. pic.twitter.com/IYC4r0hjdk
— Kevin Beaumont (@GossiTheDog) June 24, 2022
像许多勒索软件组织一样,Lorenz 使用双重勒索方法,在加密系统之前窃取受害者的数据,并威胁如果不支付赎金就公开披露数据。
Lorenz 攻击者最初通过利用网络外围 Mitel 设备中的远程代码执行漏洞进入目标公司的网络。RCE 漏洞影响了 Mitel 的 MiVoice Connect 服务设备组件,该功能将协作和通信工具整合到一个界面中。
北极狼研究人员写道:“值得注意的是,在利用 Mitel 设备之后,洛伦茨在大约一个月内没有立即进行任何进一步的活动,”这本来可以让 CSO 有时间做出反应。
网络犯罪分子获得了一个反向外壳,并使用基于 Go 的开源隧道工具 Chisel 通过该漏洞进入企业 IT 环境。这允许攻击者进入受害者的网络。
在利用 Mitel 设备后,攻击者利用它创建了一个隐藏目录,并通过 wget 从 GitHub 下载了 Chisel 的编译二进制文件。他们从那里获得特权管理员帐户的凭据,以通过远程桌面协议 (RDP) 在网络中横向移动。
然后,网络犯罪分子在加密之前使用 FileZilla 窃取数据。
使用旧技巧的新狗
这不是攻击者第一次利用 Mitel 漏洞发起攻击。CrowdStrike 分析师在 6 月份的一份报告中概述了该漏洞以及另一个勒索软件试图利用该漏洞获得对公司网络的初始访问权限。
通过最近的尝试,Arctic Wolf 研究人员发现攻击者使用的策略与 CrowdStrike 描述的有关初始访问的策略重叠。
7 月初,Rapid7 威胁猎手报告了少量使用 Mitel 漏洞进行初始访问的入侵。
虽然他们不相信大量 Mitel 设备暴露在互联网上,或者该漏洞是大规模勒索软件活动的目标,但“我们意识到……为许多组织塑造风险模型,并且网络外围设备是各种攻击者的诱人目标,”他们写道。
监控周边
“威胁行为者开始将目标转移到鲜为人知或受监控的资产以避免被发现,”北极狼研究人员本周在一篇博客文章中写道。
“在当前形势下,许多组织对域控制器和 Web 服务器等关键资产进行了大量监控,但往往在没有适当监控的情况下留下 VoIP 设备和 IoT 设备,这使得威胁行为者能够在不被发现的情况下在环境中立足。”
Lares Consulting 的首席运营官 Andrew Hay 告诉The Register,随着越来越多的成熟组织修补其明显的资产,威胁组织将继续寻找进入受害者环境的最简单方法。
“攻击者将瞄准最容易实现的目标,而 VoIP 系统是任何组织中最不经常修补的资产,”他说。“这主要是因为它们被认为是‘电话’,而不是计算机。”
Mitel在 4 月份发现了该漏洞,并在发布 MiVoice Connect R19.3 版本之前交付了一个修复脚本,该版本在三个月后修复了该问题。
据 Cybereason 称,Lorenz 勒索软件变种于2021 年 2 月首次被发现,可能是 2020 年 10 月发现的 .sZ40 勒索软件的新品牌。它还与 2017 年首次出现的 ThunderCrypt 勒索软件有关。
物联网安全商店 Viakoo 的首席执行官 Bud Broomhead 告诉The Register ,VoIP 设备的目标增加“将迫使组织从信息安全的角度同等对待所有可入侵的设备” 。
“不属于 IT 的设备没有理由从网络角度区别对待它。除非设备获得官方豁免,否则它应该遵守与服务器或网络设备相同的补丁、密码和安全标准。”
KnowBe4 的安全意识倡导者 James McQuiggan 告诉The Register,“组织需要确保他们拥有变更控制和补丁管理程序,以监控所有资产的更新并及时实施所有更新,以避免通过未打补丁的系统造成潜在的数据泄露。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Lorenz勒索软件团伙正在利用Mitel VoIP设备中的漏洞来破坏公司网络
