統合コミュニケーションツールから入ってくるLorenz
ランサムウェアグループであるLorenzの活動が解析されています。
確認された事例では、LorenzはMitel MiVoice Connectという統合コミュニケーションツールの脆弱性を悪用して初期アクセスを獲得してます。
Mitel MiVoice Connectは、1つのインターフェースから連絡先のスケジュールを確認したり、電話、IM、ビデオ、デスクトップ共有、または電話会議を介して連絡を取ることのできるコミュニケーションツールです。
次のように進みます。
- 脆弱性を悪用してリバースシェルを実現
MiVoice Connectのリモートコード実行の脆弱性であるCVE-2022-29499を悪用してリバースシェルを取得します。 - トンネルの開通
Chiselをトンネリングツールとして使用して環境に侵入します。
ChiselはGithubで公開されています。
リバースシェルからwgetを使ってChiselを取得し、動作させます。 - 資格情報の収集
CrackMapExecを使って資格情報を収集します。
CrackMapExecもGithubで公開されています。 - 環境情報の収集
侵入先環境のActive Directoryサーバに関する情報を集めます。 - 横展開
収集した資格情報を使って横展開します。 - 情報の持ち出し
攻撃者は侵入環境にFileZillaをインストールします。
そしてFileZillaでデータを外部に持ち出します。 - 暗号化
情報の持ち出しが完了したら暗号化します。
暗号化にはBitLockerドライブ暗号化を使用します。
暗号化機構の操作にはPowerShellスクリプトが使用されます。
侵入した後の活動は、よくある流れです。
重要サーバとして認識されている資産に対する監視は意識されることが多くなってきていることと思います。
しかしそれだけではなく、環境にあるいろいろな機器がこの例のように足掛かりとなってしまう可能性があります。
環境のすべてを完全な状態に保つことは容易なことではありませんが目指す必要がありそうです。
まずは重要サーバの安全化に加えて、境界面に位置する機器群を安全化していくことが良いかもしれません。
参考記事(外部リンク):Chiseling In: Lorenz Ransomware Group Cracks MiVoice And
Calls Back For Free
arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/
