近日,美国、欧盟和拉美(LATAM)地区的微软 SQL(MS SQL)服务器安全状况不佳,因而被土耳其黑客盯上,成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。
Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到:威胁活动一般会以以下两种方式结束:要么是出售被入侵主机的访问权,要么是最终交付勒索软件有效载荷。
Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 "RE#TURGENCE"。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击,然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令,以便从远程服务器检索 PowerShell 脚本打好基础,然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后,黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序,以访问机器并下载其他工具,如 Mimikatz 以获取凭据,以及高级端口扫描器以进行侦查。
横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的,它可以在远程 Windows 主机上执行程序。
该攻击链最终以部署 Mimic 勒索软件而达到高潮,DB#JAMMER 活动中也使用了该勒索软件的变种。
Kolesnikov告诉《黑客新闻》:"这两个活动中使用的指标和恶意TTP完全不同,因此很有可能是两个不同的活动。也就是说,虽然最初的渗透方法类似,但 DB#JAMMER 更复杂一些,使用了隧道技术。相比之下RE#TURGENCE 更有针对性,倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具,试图混入正常活动中。
Securonix表示,它发现了威胁行为者的操作安全(OPSEC)失误,由于AnyDesk的剪贴板共享功能已启用,因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse,该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。
研究人员提醒说:一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下,攻击者可以直接从主网络外部强行进入服务器。