10/01/24
В последнее время в США, Европейском Союзе и регионе Латинской Америки наблюдаются атаки на плохо защищённые серверы MS-SQL. Исследователи безопасности из компании Securonix считают, что данная кампания направлена на получение первоначального доступа и мотивирована финансовой выгодой, передаёт Securitylab.
Специалисты отмечают, что любая успешная атака в рамках рассмотренной ими кампании всегда заканчивалась либо продажей доступа к скомпрометированному хосту, либо доставкой программы-вымогателя. Сама кампания связана с деятельностью турецких хакеров и получила от исследователей Securonix кодовое название RE#TURGENCE.
Доступ к серверам MS-SQL осуществляется путём взлома паролей, за которым следует использование опции конфигурации xp_cmdshell для выполнения команд оболочки на скомпрометированном хосте. Это напоминает предыдущую кампанию под названием DB#JAMMER, которая была обнаружена в сентябре 2023 года.
Затем происходит извлечение PowerShell-скрипта с удалённого сервера, который отвечает за скачивание замаскированной полезной нагрузки Cobalt Strike.
После этого используется набор инструментов для загрузки приложения удалённого рабочего стола AnyDesk с сетевого ресурса для доступа к машине и загрузки дополнительных инструментов, таких как Mimikatz для сбора учётных данных и Advanced Port Scanner для проведения разведки.
Боковое перемещение осуществляется хакерами с помощью законной утилиты системного администрирования под названием PsExec, которая может выполнять программы на удалённых хостах Windows.
В итоге вся цепочка атак приводит к развёртыванию вымогательского программного обеспечения Mimic, вариация которого также использовался в предыдущей кампании DB#JAMMER.
Специалисты Securonix подчёркивают, что индикаторы и вредоносные методы, используемые в обеих кампаниях, сильно различаются между собой, что свидетельствует о высокой вероятности их независимости друг от друга.
Особенно это касается методов первоначального проникновения: кампания DB#JAMMER была несколько более сложной и использовала туннелирование, в то время как RE#TURGENCE более целенаправленная и склонная к использованию легитимных инструментов и удаленного мониторинга и управления, таких как AnyDesk, чтобы смешаться с обычной активностью.
Securonix также обнаружила ошибку в операционной безопасности, допущенную злоумышленниками. Эта ошибка позволила специалистам отследить активность буфера обмена хакеров и установить их турецкое происхождение.
Исследователи предостерегают: «Всегда избегайте прямого подключения критически важных серверов к Интернету. В случае с атакующими RE#TURGENCE они могли взломать сервер напрямую с внешней стороны основной сети».
