作为一项持续的有经济动机的行动的一部分,安全性薄弱的Microsoft SQL(MS SQL)服务器正成为美国、欧盟和拉丁美洲(LATAM)地区的目标,以获取初始访问权限。
Securonix研究人员Den Iuzvyk、Tim Peck和Oleg Kolesnikov在与共享的技术报告中表示:”分析的威胁行动似乎有两种结束方式,要么出售对受损主机的’访问权限’,要么最终传递勒索软件有效载荷。”
这个行动与土耳其黑客有关,并被网络安全公司命名为RE#TURGENCE。
对服务器的初始访问涉及进行暴力攻击,然后利用xp_cmdshell配置选项在受损主机上运行shell命令。这个行为与之前的一个名为DB#JAMMER的行动相似,该行动在2023年9月曝光。
这个阶段为从远程服务器检索一个PowerShell脚本铺平了道路,该脚本负责提取一个模糊的Cobalt Strike信标有效载荷。
然后使用后渗透工具包从挂载的网络共享中下载AnyDesk远程桌面应用程序,以便访问机器并下载其他工具,如Mimikatz以收集凭据和Advanced Port Scanner进行侦察。
MS SQL服务器
通过一种名为PsExec的合法系统管理实用程序,可以在远程Windows主机上执行程序来实现横向移动。
该攻击链最终导致了Mimic勒索软件的部署,其中的一个变种也被用于DB#JAMMER行动中。
Kolesnikov说:”在这两个行动中使用的指标以及恶意的TTP(战术、技术和过程)完全不同,因此这是两个完全不同的行动的可能性非常高。”
“更具体地说,虽然初始渗透方法相似,但DB#JAMMER略微更加复杂,并使用隧道。RE#TURGENCE更加有针对性,并倾向于使用合法工具和远程监控和管理,如AnyDesk,以融入正常活动中。”
Securonix表示,他们发现了威胁行动者犯下的一项操作安全性(OPSEC)失误,这使得他们能够监视剪贴板活动,因为AnyDesk的剪贴板共享功能被启用。
这使得他们能够了解到他们是土耳其人,并且他们的在线别名是atseverse,这个别名还对应着Steam上的一个个人资料和一个名为SpyHack的土耳其黑客论坛。
“始终避免直接将关键服务器暴露在互联网上,”研究人员提醒道。”就RE#TURGENCE的情况而言,攻击者能够从主网络外部直接进行暴力攻击来获得对服务器的访问权限。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/turkish-hackers-exploiting-ms-sql-servers.html
