Im Rahmen einer laufenden, finanziell motivierten Operation werden schwach gesicherte Microsoft SQL (MS SQL)-Server in den Vereinigten Staaten, der Europäischen Union und Lateinamerika (LATAM) für einen ersten Zugriff angegriffen.
In einem technischen Bericht, der den Securonix-Forschern Den Iuzvyk, Tim Peck und Oleg Kolesnikov zur Verfügung gestellt wurde, heißt es: "Die analysierten Bedrohungen scheinen auf eine von zwei Arten zu enden, entweder durch den Verkauf von "Zugang" zu kompromittierten Hosts. Entweder die letztendliche Lieferung vonRansomwareNutzlast".
Diese Aktion steht im Zusammenhang mit derTürkischer Hackerverwandt und warenNetzwerksicherheitDas Unternehmen trägt den Namen RE#TURGENCE.
Der erste Zugriff auf den Server erfolgt über einen Brute-Force-Angriff, der dann dazu genutzt wirdxp_cmdshellKonfigurationsoptionen laufen auf beschädigten HostsShell-Befehl. Dieses Verhalten ähnelt einer früheren Operation namens DB#JAMMER, die im September 2023 bekannt wurde.
Diese Phase bietet einen Mechanismus zum Abrufen einerPowerShell-SkripteDas Skript, das den Weg ebnet, ist für die Extraktion eines FuzzyKobaltstreikNutzlast der Bake.
Dann nach der BenutzungPenetrations-ToolkitLaden Sie die AnyDesk Remote Desktop-Anwendung von einer gemounteten Netzwerkfreigabe herunter, um auf den Rechner zuzugreifen und andere Tools herunterzuladen, z. B.Mimikatzum Anmeldeinformationen zu sammeln undErweiterter Port-ScannerDurchführung von Erkundungen.
MS SQL Server
Die seitliche Verschiebung kann erreicht werden, indem ein Programm auf einem entfernten Windows-Host über ein legitimes Systemverwaltungsprogramm namens PsExec ausgeführt wird.
Die Angriffskette gipfelte in der Verbreitung der Ransomware Mimic, von der eine Variante auch bei der Operation DB#JAMMER verwendet wurde.
Kolesnikov sagte: "Die bei diesen beiden Operationen verwendeten Indikatoren und die bösartigen TTP (Taktiken, Techniken und Prozesse) sind völlig unterschiedlich, so dass die Wahrscheinlichkeit, dass es sich um zwei völlig unterschiedliche Operationen handelt, sehr hoch ist."
"Während die anfänglichen Penetrationsmethoden ähnlich sind, ist DB#JAMMER etwas raffinierter und verwendet Tunnelling. re#TURGENCE ist gezielter und neigt dazu, legitime Tools und Fernüberwachung und -verwaltung wie AnyDesk zu verwenden, um sich in normale Aktivitäten zu integrieren."
Securonix sagte, dass sie einen Bedrohungsakteur entdeckten, der eineBetriebliche SicherheitSex (OPSEC)-Fehler, die es ihnen ermöglichten, die Aktivitäten in der Zwischenablage zu überwachen, da die Funktion zur gemeinsamen Nutzung der Zwischenablage von AnyDesk aktiviert war.
So erfahren sie, dass sie Türken sind und dass ihr Online-Alias aseverse lautet, was auch einem Profil auf Steam und einem Profil namensSpyHackTürkischHacker (Informatik) (Lehnwort)Forum.
"Vermeiden Sie es immer, kritische Server direkt dem Internet auszusetzen", warnen die Forscher. Im Fall von RE#TURGENCE konnte sich ein Angreifer mit einem direkten Brute-Force-Angriff von außerhalb des Hauptnetzwerks Zugang zum Server verschaffen."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/turkish-hackers-exploiting-ms-sql-servers.html