土耳其黑客向全球MS SQL 服务器发起RE#TURGENCE攻击行动

近日,美国、欧盟和拉美(LATAM)地区的微软 SQL(MS SQL)服务器安全状况不佳,因而被土耳其黑客盯上,成为了其正在进行的以获取初始访问权限为目的的金融活动的攻击目标。

Securonix 研究人员 Den Iuzvyk、Tim Peck 和 Oleg Kolesnikov 在与《黑客新闻》共享的一份技术报告中提到:威胁活动一般会以以下两种方式结束:要么是出售被入侵主机的访问权,要么是最终交付勒索软件有效载荷。

Securonix 网络安全公司将此次土耳其黑客发起的攻击行动命名为 "RE#TURGENCE"。此次行动与 2023 年 9 月曝光的名为 DB#JAMMER 的活动如出一辙。都是先对服务器的初始访问需要进行暴力破解攻击,然后使用 xp_cmdshell 配置选项在被入侵主机上运行 shell 命令,以便从远程服务器检索 PowerShell 脚本打好基础,然后由该脚本负责获取经过混淆的 Cobalt Strike beacon 有效载荷。最后,黑客会利用后剥削工具包从挂载的网络共享中下载 AnyDesk 远程桌面应用程序,以访问机器并下载其他工具,如 Mimikatz 以获取凭据,以及高级端口扫描器以进行侦查。

横向移动是通过一种名为 PsExec 的合法系统管理实用程序完成的,它可以在远程 Windows 主机上执行程序。

该攻击链最终以部署 Mimic 勒索软件而达到高潮,DB#JAMMER 活动中也使用了该勒索软件的变种。

Kolesnikov告诉《黑客新闻》:"这两个活动中使用的指标和恶意TTP完全不同,因此很有可能是两个不同的活动。也就是说,虽然最初的渗透方法类似,但 DB#JAMMER 更复杂一些,使用了隧道技术。相比之下RE#TURGENCE 更有针对性,倾向于使用合法工具以及 AnyDesk 等远程监控和管理工具,试图混入正常活动中。

Securonix表示,它发现了威胁行为者的操作安全(OPSEC)失误,由于AnyDesk的剪贴板共享功能已启用,因此它可以监控剪贴板活动。这样就有机会收集到他们的在线别名 atseverse,该名称还与 Steam 和土耳其一个名为 SpyHack 的黑客论坛上的个人资料相对应。

研究人员提醒说:一定要避免将关键服务器直接暴露在互联网上。在 RE#TURGENCE 的情况下,攻击者可以直接从主网络外部强行进入服务器。

参考来源:Turkish Hackers Exploiting Poorly Secured MS SQL Servers Across the Globe (thehackernews.com)

相关推荐
努力学习的小廉8 分钟前
深度理解linux系统—— 了解操作系统
linux·运维·服务器
玩电脑的辣条哥9 分钟前
一台服务器已经有个python3.11版本了,如何手动安装 Python 3.10,两个版本共存
服务器·python·python3.11
敲上瘾15 分钟前
基于Tcp协议的应用层协议定制
linux·运维·服务器·网络·c++·网络协议·tcp/ip
莹莹学编程—成长记1 小时前
string的模拟实现
服务器·c++·算法
星星点点洲2 小时前
【缓存与数据库结合最终方案】伪从技术
数据库·缓存
小黑屋的黑小子2 小时前
【MySQL】MySQL索引与事务
数据库·mysql·oracle
OK_boom5 小时前
Dapper的数据库操作备忘
数据库
艺杯羹5 小时前
JDBC之ORM思想及SQL注入
数据库·sql·jdbc·orm·sql注入
blackA_6 小时前
数据库MySQL学习——day4(更多查询操作与更新数据)
数据库·学习·mysql
极限实验室7 小时前
Easysearch 迁移数据之 Reindex From Remote
数据库