В рамках продолжающейся финансово-мотивированной операции слабозащищенные серверы Microsoft SQL (MS SQL) в США, Европейском союзе и Латинской Америке (LATAM) подвергаются атакам с целью получения первоначального доступа.
В техническом отчете, предоставленном Securonix, исследователи Ден Юзвик, Тим Пек и Олег Колесников заявили: "Проанализированные угрозы заканчиваются одним из двух способов: либо продажей "доступа" к скомпрометированным хостам. Либо последующей доставкойпрограммы-вымогателиПолезная нагрузка".
Это действие связано сТурецкий хакерсвязаны и былиинформационная безопасностьКомпания называется RE#TURGENCE.
Первоначальный доступ к серверу осуществляется с помощью атаки грубой силы, которая затем используется дляxp_cmdshellПараметры конфигурации выполняются на поврежденных узлахкоманда оболочки. Это поведение похоже на предыдущую операцию под названием DB#JAMMER, о которой стало известно в сентябре 2023 года.
Этот этап обеспечивает механизм для полученияСценарии PowerShellПрокладывая путь, скрипт отвечает за извлечение нечеткогоКобальтовый ударПолезная нагрузка маяка.
Затем после использованияНабор инструментов для проникновенияЗагрузите приложение AnyDesk Remote Desktop с установленного сетевого ресурса, чтобы получить доступ к машине и загрузить другие инструменты, такие какМимикацдля сбора учетных данных иРасширенный сканер портовПроведите разведку.
MS SQL Server
Латеральное перемещение может быть достигнуто путем выполнения программы на удаленном хосте Windows с помощью легитимной утилиты системного администрирования PsExec.
Цепочка атак завершилась развертыванием программы-вымогателя Mimic, вариант которой также использовался в операции DB#JAMMER.
По словам Колесникова, "индикаторы, используемые в этих двух операциях, и вредоносные ТТП (тактики, техники и процессы) совершенно разные, поэтому вероятность того, что это две совершенно разные операции, очень высока".
"Если говорить более конкретно, то, хотя начальные методы проникновения схожи, DB#JAMMER несколько более изощрен и использует туннелирование. re#TURGENCE более целенаправлен и, как правило, использует легитимные инструменты и удаленный мониторинг и управление, такие как AnyDesk, для интеграции в обычную деятельность".
Компания Securonix заявила, что обнаружила агента угроз, совершающегоБезопасность эксплуатацииСекса (OPSEC), что позволило им отслеживать активность буфера обмена, поскольку функция обмена буфером обмена AnyDesk была включена.
Это позволяет узнать, что они турки и что их сетевой псевдоним - aseverse, который также соответствует профилю на Steam и профилю под названиемSpyHackТурецкаяхакерФорум.
"Всегда избегайте прямого доступа критически важных серверов в Интернет, - предупреждают исследователи." В случае с RE#TURGENCE злоумышленник смог получить доступ к серверу с помощью прямой атаки грубой силы извне основной сети."
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/turkish-hackers-exploiting-ms-sql-servers.html.