حمله باج‌افزاری به شبکه‌های میتل

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تحقیقاتی به تازگی کشف کرده است که گروه باج‌افزاری لورنز (Lorenz) در حال سوء استفاده از یک آسیب‌پذیری در سیستم‌های استفاده‌کننده از پلتفرم میتل (Mitel) فعال با صدا با پروتکل اینترنت (VoIP) هستند تا به شبکه‌های رایانه‌ای نفوذ پیدا کنند.

کارشناسان شرکت امنیت سایبری Arctic Wolf Labs اخیراً دریافتند که لورنز، یک گروه پرکار که حداقل از اوایل سال ۲۰۲۱ وجود فعالیت داشته و اخیراً عمدتاً اس‌ام‌بی‌ها را در ایالات متحده، چین و مکزیک هدف قرار داده است، از یک آسیب‌پذیری با کد شناسایی «CVE-۲۰۲۲-۲۹۴۹۹» استفاده کرده است. این حمله سایبری در یک دستگاه MiVoice VoIP از میتل برای ورود به شبکه قربانی قبل از استقرار ابزار رمزگذاری درایو بیت‌لاکر مایکروسافت برای رمزگذاری داده‌ها صورت گرفته است.

مانند بسیاری از گروه‌های باج‌افزار، لورنز از روش اخاذی مضاعف استفاده می‌کند، داده‌های قربانی را قبل از رمزگذاری سیستم‌ها استخراج می‌کند و تهدید می‌کند که در صورت عدم پرداخت باج، داده‌ها را به صورت عمومی افشا می‌کند.

مهاجمان لورنز در ابتدا با سوء استفاده از یک آسیب‌پذیری اجرای کد از راه دور در یک دستگاه میتل وارد شبکه شرکت مورد نظر شدند. آسیب‌پذیری RCE بر مؤلفه دستگاه سرویس میتل در MiVoice Connect تأثیر گذاشت، یک ویژگی که ابزارهای همکاری و ارتباطات را در یک رابط واحد گرد هم می‌آورد.

محققان Arctic Wolf نوشتند: شایان ذکر است که لورنز پس از بهره‌برداری از دستگاه میتل، بلافاصله به مدت حدود یک ماه به هیچ فعالیت دیگری ادامه نداد.

این مجرمان سایبری پوسته معکوس به دست آوردند و از ابزار تونل‌زنی منبع باز مبتنی بر Go استفاده کردند تا از طریق آسیب‌پذیری وارد محیط فناوری اطلاعات شرکت شوند.

پس از بهره برداری از دستگاه میتل، مهاجمان از آن برای ایجاد یک دایرکتوری مخفی استفاده کردند و یک باینری کامپایل شده از چیزل را از گیت‌هاب از طریق ویجت دانلود کردند. از آنجا، آن‌ها اعتبارنامه‌های حساب‌های مدیر ممتاز را به دست آوردند تا از طریق پروتکل دسکتاپ از راه دور (RDP) به صورت جانبی در شبکه حرکت کنند.

مجرمان سایبری سپس داده‌ها را قبل از رمزگذاری با استفاده از فایل‌زیلا استخراج کردند.

منبع: The Register