금전적 동기를 가진 지속적인 작전의 일환으로 미국, 유럽 연합 및 라틴 아메리카(LATAM) 지역에서 보안이 취약한 마이크로소프트 SQL(MS SQL) 서버를 초기 액세스 대상으로 삼고 있습니다.
Securonix의 연구원 덴 이우즈비크, 팀 펙, 올레그 콜레스니코프는 기술 보고서를 통해 "분석된 위협 행위는 손상된 호스트에 '액세스 권한'을 판매함으로써 두 가지 방법 중 하나로 끝나는 것으로 보입니다. 결국에는랜섬웨어페이로드."
이 작업은터키 해커관련되어 있고사이버 보안회사 이름은 RE#TURGENCE입니다.
서버에 대한 초기 액세스에는 무차별 대입 공격이 포함되며, 이 공격은 다음을 위해 활용됩니다.XP_CMDSHELL손상된 호스트에서 실행되는 구성 옵션셸 명령. 이 동작은 2023년 9월에 발견된 DB#JAMMER라는 이전 오퍼레이션과 유사합니다.
이 단계에서는 다음과 같은 메커니즘을 제공합니다.PowerShell 스크립트이 스크립트는 퍼지를 추출하는 작업을 담당합니다.코발트 스트라이크비콘 페이로드.
그런 다음 사용 후침투 툴킷마운트된 네트워크 공유에서 AnyDesk 원격 데스크톱 애플리케이션을 다운로드하여 기기에 액세스하고 다음과 같은 기타 도구를 다운로드합니다.미미카츠를 사용하여 자격 증명을 수집하고고급 포트 스캐너정찰을 수행합니다.
MS SQL Server
측면 이동은 PsExec이라는 합법적인 시스템 관리 유틸리티를 통해 원격 Windows 호스트에서 프로그램을 실행하여 수행할 수 있습니다.
이 공격 체인은 DB#JAMMER 공격에도 사용된 변종인 미믹 랜섬웨어의 배포로 정점을 찍었습니다.
콜레스니코프는 "이 두 가지 작전에 사용된 지표와 악의적인 TTP(전술, 기법 및 프로세스)가 완전히 다르기 때문에 완전히 다른 두 가지 작전일 가능성이 매우 높습니다."라고 말했습니다.
"좀 더 구체적으로 설명하자면, 초기 침투 방식은 비슷하지만 DB#JAMMER는 조금 더 정교하고 터널링을 사용합니다. re#TURGENCE는 좀 더 표적화되어 있으며 정상적인 활동에 통합하기 위해 AnyDesk와 같은 합법적인 도구와 원격 모니터링 및 관리를 사용하는 경향이 있습니다."
시큐로닉스는 위협 행위자가 다음과 같은 행위를 저지르는 것을 발견했다고 밝혔다.운영 안전섹스(OPSEC) 실패로 인해 AnyDesk의 클립보드 공유 기능이 활성화되어 있어 클립보드 활동을 모니터링할 수 있었습니다.
이를 통해 자신이 터키인이고 온라인 별칭이 역(逆)이라는 것을 알 수 있으며, 이는 Steam의 프로필과 다음과 같은 이름의 프로필에도 해당합니다.SpyHack터키어해커포럼.
연구진은 "항상 중요한 서버를 인터넷에 직접 노출하지 말아야 한다"고 경고합니다." RE#TURGENCE의 경우, 공격자는 메인 네트워크 외부에서 직접 무차별 대입 공격을 통해 서버에 액세스할 수 있었습니다."
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/터키-해커들이-ms-sql-서버를-악용하는-방법-html
