Servidores Microsoft SQL (MS SQL) mal protegidos estão sendo alvos nos EUA, União Europeia e regiões da América Latina (LATAM) como parte de uma campanha em andamento financeiramente motivada para obter acesso inicial.
"A campanha de ameaças analisadas parece terminar de uma das duas maneiras, seja a venda de 'acesso' ao host comprometido, ou a entrega final de payloads de ransomware", disseram os pesquisadores do Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório técnico compartilhado com o The Hacker News.
A campanha, ligada a atores de origem turca, foi apelidada de RE#TURGENCE pela empresa de segurança cibernética.
O acesso inicial aos servidores envolve a realização de ataques de força bruta, seguido pelo uso da opção de configuração xp_cmdshell para executar comandos de shell no host comprometido.
Essa atividade espelha a de uma campanha anterior chamada DB#JAMMER que veio à luz em setembro de 2023.
Esta fase abre caminho para a recuperação de um script PowerShell de um servidor remoto responsável por buscar um beacon de payload do Cobalt Strike ofuscado.
O kit de ferramentas pós-exploração é então usado para baixar o aplicativo de desktop remoto AnyDesk de um compartilhamento de rede montado para acessar a máquina e baixar ferramentas adicionais como Mimikatz para colher credenciais e Advanced Port Scanner para realizar o reconhecimento.
O movimento lateral é realizado por meio de uma utilidade legítima de administração de sistema chamada PsExec, que pode executar programas em hosts remotos do Windows.
Essa cadeia de ataques, em última análise, culmina com a implantação do ransomware Mimic, uma variante que também foi usada na campanha DB#JAMMER.
"Os indicadores, bem como os TTPs maliciosos usados nas duas campanhas são completamente diferentes, então há uma grande chance de que estas são duas campanhas distintas", disse Kolesnikov ao The Hacker News.
"Mais especificamente, embora os métodos de infiltração inicial sejam semelhantes, DB#JAMMER foi ligeiramente mais sofisticado e usou tunelamento.
RE#TURGENCE é mais direcionado e tende a usar ferramentas legítimas e monitoramento e gerenciamento remoto, como AnyDesk, na tentativa de se misturar com a atividade normal."
Securonix disse que descobriu um erro de segurança operacional (OPSEC) cometido pelos atores de ameaça que permitiu que ele monitorasse a atividade da área de transferência devido ao fato de que o recurso de compartilhamento da área de transferência do AnyDesk estava ativado.
Isso tornou possível deduzir suas origens turcas e seu alias online atseverse, que também corresponde a um perfil no Steam e a um fórum de hacking turco chamado SpyHack.
"Sempre evite expor servidores críticos diretamente à internet", advertiram os pesquisadores.
"No caso dos atacantes de RE#TURGENCE, eles foram capazes de forçar sua entrada no servidor diretamente de fora da rede principal."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...