Турецкие хакеры используют уязвимость MS SQL Server в кибератаках

Турецкие хакеры недавно использовали серверы Microsoft SQL (MS SQL), которые имеют слабую защиту во всем мире, для проведения атак. Эти действия были направлены на получение первоначального доступа и связаны с финансовой выгодой. Атака была направлена на США, ЕС и регионы Латинской Америки (LATAM). Исследователи из охранной фирмы Securonix назвали операцию RE#TURGENCE.

В рамках продолжающейся финансово-мотивированной операции слабозащищенные серверы Microsoft SQL (MS SQL) в США, Европейском союзе и Латинской Америке (LATAM) подвергаются атакам с целью получения первоначального доступа.

В техническом отчете, предоставленном Securonix, исследователи Ден Юзвик, Тим Пек и Олег Колесников заявили: "Проанализированные угрозы заканчиваются одним из двух способов: либо продажей "доступа" к скомпрометированным хостам. Либо последующей доставкойпрограммы-вымогателиПолезная нагрузка".

Это действие связано сТурецкий хакерсвязаны и былиинформационная безопасностьКомпания называется RE#TURGENCE.

Первоначальный доступ к серверу осуществляется с помощью атаки грубой силы, которая затем используется дляxp_cmdshellПараметры конфигурации выполняются на поврежденных узлахкоманда оболочки. Это поведение похоже на предыдущую операцию под названием DB#JAMMER, о которой стало известно в сентябре 2023 года.

Этот этап обеспечивает механизм для полученияСценарии PowerShellПрокладывая путь, скрипт отвечает за извлечение нечеткогоКобальтовый ударПолезная нагрузка маяка.

Затем после использованияНабор инструментов для проникновенияЗагрузите приложение AnyDesk Remote Desktop с установленного сетевого ресурса, чтобы получить доступ к машине и загрузить другие инструменты, такие какМимикацдля сбора учетных данных иРасширенный сканер портовПроведите разведку.

Турецкие хакеры используют уязвимость MS SQL Server в кибератаках

MS SQL Server
Латеральное перемещение может быть достигнуто путем выполнения программы на удаленном хосте Windows с помощью легитимной утилиты системного администрирования PsExec.

Цепочка атак завершилась развертыванием программы-вымогателя Mimic, вариант которой также использовался в операции DB#JAMMER.

По словам Колесникова, "индикаторы, используемые в этих двух операциях, и вредоносные ТТП (тактики, техники и процессы) совершенно разные, поэтому вероятность того, что это две совершенно разные операции, очень высока".

"Если говорить более конкретно, то, хотя начальные методы проникновения схожи, DB#JAMMER несколько более изощрен и использует туннелирование. re#TURGENCE более целенаправлен и, как правило, использует легитимные инструменты и удаленный мониторинг и управление, такие как AnyDesk, для интеграции в обычную деятельность".

Компания Securonix заявила, что обнаружила агента угроз, совершающегоБезопасность эксплуатацииСекса (OPSEC), что позволило им отслеживать активность буфера обмена, поскольку функция обмена буфером обмена AnyDesk была включена.

Это позволяет узнать, что они турки и что их сетевой псевдоним - aseverse, который также соответствует профилю на Steam и профилю под названиемSpyHackТурецкаяхакерФорум.

"Всегда избегайте прямого доступа критически важных серверов в Интернет, - предупреждают исследователи." В случае с RE#TURGENCE злоумышленник смог получить доступ к серверу с помощью прямой атаки грубой силы извне основной сети."

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/ru/турецкие-хакеры-эксплуатируют-серве-2

Нравиться (0)
Предыдущий 8 января 2024 г. пп7:27
Следующий Дата и место рождения: 9 января 2024 года ппп8:20

связанное предложение