WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lorenz: Ransomware khai thác Mitel VoIP tấn công mạng doanh nghiệp
Mã độc tống tiền Lornenz khai thác lỗ hổng nghiêm trọng đã được vá trong Mitel MiVoice Connect nhằm lây nhiễm môi trường mục tiêu, phục vụ các hoạt động tấn công tiếp theo.
Các nhà nghiên cứu của Arctic Wolf cho biết trong một báo cáo được công bố trong tuần này: “Hoạt động của mã độc bắt nguồn từ một thiết bị Mitel nằm trên vành đai mạng (network perimeter)”.
"Lorenz khai thác CVE-2022-29499, một lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần Mitel Service Appliance của MiVoice Connect, để chiếm một shell đảo ngược (reverse shell) sau đó sử dụng Chisel làm công cụ xâm nhập ngầm vào môi trường mục tiêu".
Cũng giống như nhiều nhóm ransomware khác, Lorenz được biết đến với hành vi tống tiền kép bằng cách lấy cắp dữ liệu trước khi mã hóa hệ thống, nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ (SMB) ở Mỹ , Trung Quốc và Mexico ít nhất từ tháng 2 năm 2021.
Các chuyên gia cho biết Lorenz là một ransomware không ngừng tiến hóa. Có thông tin cho rằng Lorenz chính là '.sZ40', một ransomware được phát hiện vào tháng 10 năm 2020, nhưng đã được đổi tên.
Nhà nghiên cứu bảo mật Kevin Beaumont tiết lộ các sản phẩm Mitel VoIP là một mục tiêu tiềm năng do có gần 20.000 thiết bị kết nối Internet, có thể dễ bị mã độc tấn công.
Trong một cuộc tấn công ransomware Lorenz do Arctic Wolf điều tra, hacker đã vũ khí hóa lỗ hổng thực thi mã từ xa để thiết lập một “shell” ngược và tải xuống tiện ích proxy Chisel.
Từ đó có thể suy đoán, bước xâm nhập ban đầu của mã độc hoặc là được thực hiện với sự trợ giúp của các tin tặc sở hữu mã khai thác lỗ hổng CVE-2022-29499 hoặc có thể do chính nhóm tin tặc đứng sau Lorenz tự thực hiện.
Đáng chú ý nữa là nhóm Lorenz đã đợi gần một tháng sau khi có được quyền truy cập ban đầu để tiến hành các hành động sau khai thác, bao gồm sử dụng web shell để duy trì lây nhiễm trên hệ thống, thu thập thông tin đăng nhập, do thám mạng, leo thang đặc quyền và di chuyển sang các hệ thống ngang hàng.
Đỉnh điểm của việc xâm nhập là sử dụng FileZilla để lọc dữ liệu, sau đó mã hóa các máy chủ bằng dịch vụ BitLocker của Microsoft.
Các nhà nghiên cứu cho biết: “Chỉ giám sát các tài sản quan trọng là không đủ đối với các tổ chức”, đồng thời cho biết thêm “các quản trị nên giám sát tất cả các thiết bị có kết nối với bên ngoài, bao gồm cả thiết bị VoIP và IOT, để tìm kiếm nguy hiểm tiềm ẩn”.
Các nhà nghiên cứu của Arctic Wolf cho biết trong một báo cáo được công bố trong tuần này: “Hoạt động của mã độc bắt nguồn từ một thiết bị Mitel nằm trên vành đai mạng (network perimeter)”.
"Lorenz khai thác CVE-2022-29499, một lỗ hổng thực thi mã từ xa ảnh hưởng đến thành phần Mitel Service Appliance của MiVoice Connect, để chiếm một shell đảo ngược (reverse shell) sau đó sử dụng Chisel làm công cụ xâm nhập ngầm vào môi trường mục tiêu".
Cũng giống như nhiều nhóm ransomware khác, Lorenz được biết đến với hành vi tống tiền kép bằng cách lấy cắp dữ liệu trước khi mã hóa hệ thống, nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ (SMB) ở Mỹ , Trung Quốc và Mexico ít nhất từ tháng 2 năm 2021.
Các chuyên gia cho biết Lorenz là một ransomware không ngừng tiến hóa. Có thông tin cho rằng Lorenz chính là '.sZ40', một ransomware được phát hiện vào tháng 10 năm 2020, nhưng đã được đổi tên.
Nhà nghiên cứu bảo mật Kevin Beaumont tiết lộ các sản phẩm Mitel VoIP là một mục tiêu tiềm năng do có gần 20.000 thiết bị kết nối Internet, có thể dễ bị mã độc tấn công.
Trong một cuộc tấn công ransomware Lorenz do Arctic Wolf điều tra, hacker đã vũ khí hóa lỗ hổng thực thi mã từ xa để thiết lập một “shell” ngược và tải xuống tiện ích proxy Chisel.
Từ đó có thể suy đoán, bước xâm nhập ban đầu của mã độc hoặc là được thực hiện với sự trợ giúp của các tin tặc sở hữu mã khai thác lỗ hổng CVE-2022-29499 hoặc có thể do chính nhóm tin tặc đứng sau Lorenz tự thực hiện.
Đáng chú ý nữa là nhóm Lorenz đã đợi gần một tháng sau khi có được quyền truy cập ban đầu để tiến hành các hành động sau khai thác, bao gồm sử dụng web shell để duy trì lây nhiễm trên hệ thống, thu thập thông tin đăng nhập, do thám mạng, leo thang đặc quyền và di chuyển sang các hệ thống ngang hàng.
Đỉnh điểm của việc xâm nhập là sử dụng FileZilla để lọc dữ liệu, sau đó mã hóa các máy chủ bằng dịch vụ BitLocker của Microsoft.
Các nhà nghiên cứu cho biết: “Chỉ giám sát các tài sản quan trọng là không đủ đối với các tổ chức”, đồng thời cho biết thêm “các quản trị nên giám sát tất cả các thiết bị có kết nối với bên ngoài, bao gồm cả thiết bị VoIP và IOT, để tìm kiếm nguy hiểm tiềm ẩn”.
Theo: The Hacker News