کمیته رکن چهارم – محققان امنیت سایبری از سوء استفاده گروه باجافزاری Lorenz از سیستمهای میتل با پروتکل VoIP خبر دادند.
تحقیقاتی به تازگی کشف کرده است که گروه باجافزاری لورنز (Lorenz) در حال سوء استفاده از یک آسیبپذیری در سیستمهای استفادهکننده از پلتفرم میتل (Mitel) فعال با صدا با پروتکل اینترنت (VoIP) هستند تا به شبکههای رایانهای نفوذ پیدا کنند.
کارشناسان شرکت امنیت سایبری Arctic Wolf Labs اخیراً دریافتند که لورنز، یک گروه پرکار که حداقل از اوایل سال ۲۰۲۱ وجود فعالیت داشته و اخیراً عمدتاً اسامبیها را در ایالات متحده، چین و مکزیک هدف قرار داده است، از یک آسیبپذیری با کد شناسایی «CVE-۲۰۲۲-۲۹۴۹۹» استفاده کرده است. این حمله سایبری در یک دستگاه MiVoice VoIP از میتل برای ورود به شبکه قربانی قبل از استقرار ابزار رمزگذاری درایو بیتلاکر مایکروسافت برای رمزگذاری دادهها صورت گرفته است.
مانند بسیاری از گروههای باجافزار، لورنز از روش اخاذی مضاعف استفاده میکند، دادههای قربانی را قبل از رمزگذاری سیستمها استخراج میکند و تهدید میکند که در صورت عدم پرداخت باج، دادهها را به صورت عمومی افشا میکند.
مهاجمان لورنز در ابتدا با سوء استفاده از یک آسیبپذیری اجرای کد از راه دور در یک دستگاه میتل وارد شبکه شرکت مورد نظر شدند. آسیبپذیری RCE بر مؤلفه دستگاه سرویس میتل در MiVoice Connect تأثیر گذاشت، یک ویژگی که ابزارهای همکاری و ارتباطات را در یک رابط واحد گرد هم میآورد.
محققان Arctic Wolf نوشتند: شایان ذکر است که لورنز پس از بهرهبرداری از دستگاه میتل، بلافاصله به مدت حدود یک ماه به هیچ فعالیت دیگری ادامه نداد.
این مجرمان سایبری پوسته معکوس به دست آوردند و از ابزار تونلزنی منبع باز مبتنی بر Go استفاده کردند تا از طریق آسیبپذیری وارد محیط فناوری اطلاعات شرکت شوند.
پس از بهره برداری از دستگاه میتل، مهاجمان از آن برای ایجاد یک دایرکتوری مخفی استفاده کردند و یک باینری کامپایل شده از چیزل را از گیتهاب از طریق ویجت دانلود کردند. از آنجا، آنها اعتبارنامههای حسابهای مدیر ممتاز را به دست آوردند تا از طریق پروتکل دسکتاپ از راه دور (RDP) به صورت جانبی در شبکه حرکت کنند.
مجرمان سایبری سپس دادهها را قبل از رمزگذاری با استفاده از فایلزیلا استخراج کردند.
منبع: افتانا
