勒索软件Lorenz锁定Mitel VoIP设备漏洞入侵企业

安全厂商近日发现勒索软件Lorenz利用加拿大企业Mitel的VoIP设备漏洞入侵企业网络,再运用微软BitLocker加密工具加密企业机密资料,借此向受害者勒索。

Lorenz至少2021年2月起已开始活动,且常在加密及外泄企业资料后,行使双重勒索。上一季,这个勒索软件主要以美国中小企业为攻击对象,也有少部分中国和墨西哥受害者。

安全厂商Arctic Wolf研究人员近日发现Lorenz最新活动。黑客组织先是开采Mitel的MiVoice Connect产品的Service Appliance组件旧漏洞CVE-2022-29499,以进入企业网络。接着取得反向shell(reverse shell),并运用开源快速TCP信道程序Chisel,创建受害目标机器和攻击主机的连接,以便下达指令,并将窃得的资料外传。

值得一提的是,黑客并非马上行动,而是等了将近一个月才开始接下来的行动。攻击者设法搜集到本地管理员及域名管理员权限的用户帐密,以便在受害者网络中,以RDP协议横向移动,最后来到域名控制器。

黑客在加密企业资料之前,先以管理员帐密及开源工具将企业资料发送出去,接着,攻击者在域名控制器上,利用微软Bitlocker磁盘加密(BitLocker drive encryption)技术加密受害者资料。同时受害者环境下数台VMware ESXi主机也遭到Lorenz感染。利用双重勒索,攻击者可以先向受害者勒索,若后者不付赎金,则黑客会将手中的资料公诸于世,或是当地下网站兜售。

Mitel设备的CVE-2022-29499漏洞今年6月也曾遭黑客开采。这家厂商已在今年4月发布MiVoice Connect软件19.3版修补漏洞。今年3月另一家厂商发现黑客对Mitel设备发动可放大40亿倍的DDoS流量攻击。

研究人员指出,由于企业的重要机器,像是域名控制器和网页服务器已经有严密监控,迫使黑客转向监控较不严密的设备,像是VoIP设备或物联网(IoT)机器,借此黑入企业网络。

除了更新VoIP等网络周界设备软件,Arctic Wolf研究人员也建议,不要将重要机器直接暴露在外网,并建议企业留心PowerShell的Log活动,同时避免将重要权限存储在低端设备上,以减少被黑客取得而于网络横向移动的风险。