現在進行中の金銭的動機に基づく作戦の一環として、米国、欧州連合(EU)、ラテンアメリカ(LATAM)地域で、セキュリティの弱いマイクロソフトSQL(MS SQL)サーバーが初期アクセスの標的となっている。
Securonixの研究者であるDen Iuzvyk氏、Tim Peck氏、Oleg Kolesnikov氏は、テクニカルレポートの中で次のように述べています。最終的にはランサムウェアペイロード"
このアクションはトルコ人ハッカー関連しておりサイバーセキュリティ会社名はRE#TURGENCE。
サーバーへの最初のアクセスはブルートフォースアタック(総当たり攻撃)である。xp_cmdshell破損したホスト上で実行される設定オプションシェルコマンド.この挙動は、2023年9月に明るみに出たDB#JAMMERと呼ばれる以前の作戦に似ている。
このステージはPowerShellスクリプト道を切り開くために、スクリプトはファジーなコバルト・ストライクビーコンペイロード。
そして使用後侵入ツールキットマウントされたネットワーク共有からAnyDeskリモート・デスクトップ・アプリケーションをダウンロードして、マシンにアクセスし、次のような他のツールをダウンロードします。ミミカッツクレデンシャルを収集し高度なポートスキャナー偵察を行う。
MS SQLサーバー
横方向への移動は、PsExecと呼ばれる正規のシステム管理ユーティリティを使って、リモートのWindowsホスト上でプログラムを実行することで実現できる。
この攻撃チェーンは、DB#JAMMERでも使用されたMimicランサムウェアの亜種の展開で頂点に達した。
コレスニコフは、「この2つの作戦で使用された指標と悪意のあるTTP(戦術、技術、プロセス)はまったく異なる。
「re#TURGENCEはより標的を絞り、正規のツールを使用し、AnyDeskのような遠隔監視・管理を行い、通常の活動に組み込む傾向がある。"
Securonixによると、以下のような脅威が発生していることが判明した。操業上の安全性セックス(OPSEC)の失敗により、AnyDeskのクリップボード共有機能が有効になっていたため、クリップボードのアクティビティを監視することができました。
これによって、彼らがトルコ人であること、オンライン上の偽名がaseverseであること、Steamのプロフィールとaseverseという名前のプロフィールに対応していることを知ることができる。スパイハックトルコ語ハッカーフォーラム
「研究者は、「重要なサーバーをインターネットに直接公開することは常に避けてください」と注意を促している。RE#TURGENCEの場合、攻撃者はメインネットワークの外から直接ブルートフォース攻撃でサーバーにアクセスすることができた。"
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/turkish-hackers-exploiting-ms-sql-servers.html。