トルコのハッカーがMS SQL Serverの脆弱性を悪用したサイバー攻撃を実施

トルコのハッカーが最近、世界的にセキュリティの弱いマイクロソフトSQL(MS SQL)サーバーを悪用した攻撃を仕掛けてきた。この行為は初期アクセスを得るためのもので、金銭的利益につながるものであった。この攻撃は、米国、EU、ラテンアメリカ(LATAM)地域を標的としていた。セキュリティ会社Securonixの研究者は、この行為をRE#TURGENCEと名付けた。

現在進行中の金銭的動機に基づく作戦の一環として、米国、欧州連合(EU)、ラテンアメリカ(LATAM)地域で、セキュリティの弱いマイクロソフトSQL(MS SQL)サーバーが初期アクセスの標的となっている。

Securonixの研究者であるDen Iuzvyk氏、Tim Peck氏、Oleg Kolesnikov氏は、テクニカルレポートの中で次のように述べています。最終的にはランサムウェアペイロード"

このアクションはトルコ人ハッカー関連しておりサイバーセキュリティ会社名はRE#TURGENCE。

サーバーへの最初のアクセスはブルートフォースアタック(総当たり攻撃)である。xp_cmdshell破損したホスト上で実行される設定オプションシェルコマンド.この挙動は、2023年9月に明るみに出たDB#JAMMERと呼ばれる以前の作戦に似ている。

このステージはPowerShellスクリプト道を切り開くために、スクリプトはファジーなコバルト・ストライクビーコンペイロード。

そして使用後侵入ツールキットマウントされたネットワーク共有からAnyDeskリモート・デスクトップ・アプリケーションをダウンロードして、マシンにアクセスし、次のような他のツールをダウンロードします。ミミカッツクレデンシャルを収集し高度なポートスキャナー偵察を行う。

トルコのハッカーがMS SQL Serverの脆弱性を悪用したサイバー攻撃を実施

MS SQLサーバー
横方向への移動は、PsExecと呼ばれる正規のシステム管理ユーティリティを使って、リモートのWindowsホスト上でプログラムを実行することで実現できる。

この攻撃チェーンは、DB#JAMMERでも使用されたMimicランサムウェアの亜種の展開で頂点に達した。

コレスニコフは、「この2つの作戦で使用された指標と悪意のあるTTP(戦術、技術、プロセス)はまったく異なる。

「re#TURGENCEはより標的を絞り、正規のツールを使用し、AnyDeskのような遠隔監視・管理を行い、通常の活動に組み込む傾向がある。"

Securonixによると、以下のような脅威が発生していることが判明した。操業上の安全性セックス(OPSEC)の失敗により、AnyDeskのクリップボード共有機能が有効になっていたため、クリップボードのアクティビティを監視することができました。

これによって、彼らがトルコ人であること、オンライン上の偽名がaseverseであること、Steamのプロフィールとaseverseという名前のプロフィールに対応していることを知ることができる。スパイハックトルコ語ハッカーフォーラム

「研究者は、「重要なサーバーをインターネットに直接公開することは常に避けてください」と注意を促している。RE#TURGENCEの場合、攻撃者はメインネットワークの外から直接ブルートフォース攻撃でサーバーにアクセスすることができた。"

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/turkish-hackers-exploiting-ms-sql-servers.html。

のように (0)
前の 2024年1月8日 19時27分
2024年1月9日(金)午後8時20分

関連する提案