로렌츠 랜섬웨어 탐지: 그룹이 미텔 VoIP 장치의 CVE-2022-29499 취약점을 활용

Lorenz 보안 위협 그룹은 2021년 초부터 미국, 중국, 멕시코의 기업 네트워크를 대상으로 지속적인 랜섬웨어 캠페인을 펼치고 있습니다. CVE-2022-29499로 태그된 Mitel MiVoice Connect 장치의 중요한 보안 취약점을 활용하여, 공격자들은 감염된 네트워크 내에서 지속성을 확보하려고 합니다. 이 원격 코드 실행(RCE) 취약점은 4월에 처음 발견되었고, 3개월 후에 패치되었습니다.

현재 19,000개 이상의 장치가 이러한 익스플로잇 시도에 취약한 상태로 남아 있습니다.

Lorenz 랜섬웨어 탐지

Lorenz 랜섬웨어와 관련된 행동을 식별하기 위해 숙련된 Threat Bounty 기여자들이 발표한 다음 위협 탐지 콘텐츠를 사용하십시오. Osman Demir and Zaw Min Htun (ZETA):

Lorenz 랜섬웨어 행동 (process_creation을 통해)

관련 파일 탐지를 통한 Lorenz 랜섬웨어 그룹 지속성 가능성 (file_event을 통해)

이 규칙 키트는 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 26개의 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 포함되어 있습니다.

사이버 공격의 위협이 증가하는 시대에, 우리는 적시의 위협 탐지의 가장 중요한 중요성을 홍보하고 ATT&CK 프레임워크에 기반한 보안 요구에 관련된 위협에 대한 가시성을 확보할 수 있는 확장 가능한 솔루션을 제공합니다. 관련 위협을 손쉽게 검색하고 CTI 및 ATT&CK 참조와 같은 문맥 메타데이터에 바로 들어가려면, 탐지 탐색 버튼을 클릭하고 SOC Prime의 위협 탐지, 위협 사냥 및 CTI에 대한 검색 엔진을 사용하여 관련 검색 결과로 진입하십시오.

탐지 탐색  

Lorenz 랜섬웨어 분석

연구 데이터는 공격자들이 기업 네트워크에 처음 접근하기 위해 회사의 전화 시스템을 사용하는 것을 보여줍니다. 흥미롭게도, 문서화된 공격은 초기 시스템 침투와 이후 악용 활동 시작 사이에 한 달의 시간 차이가 존재합니다. 데이터 유출을 위해 Lorenz 랜섬웨어 조직은 FileZilla FTP 도구를 사용했습니다.

이 범죄 단체는 고액의 몸값을 받아 가며 피해자의 지갑을 얇아지게 하는 고난도 공격에 참여하는 적수로서의 명성을 얻었습니다. Lorenz 그룹은 이중 갈취 공격을 시작하여 도난당한 데이터를 웹사이트에 게시하거나 제3자에게 판매했습니다.

8월에, 우리는 몇 가지 중요한 개선 사항 을 SOC Prime의 Threat Bounty Program에 소개했습니다. 우리의 가장 인기 있는 Threat Bounty 기여자 상위 5명에게 찬사를 보냅니다 (콘텐츠 기반 평가):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

사이버 세계에서 가장 방대한 탐지 콘텐츠 개발 프로그램 에 대해 더 알아보고 SOC Prime과 함께 업계 리더들 사이에서 자신의 위치를 확보하십시오.