Son zamanlarda tehdit aktörleri, FreeWorld fidye yazılımını dağıtmak amacıyla açığa çıkan MSSQL veritabanlarını tehlikeye atmak için kaba kuvvet saldırıları kullanıyor.
Securonix Threat Labs’e göre DB#JAMMER olarak adlandırılan bu saldırı kampanyası, altyapısının ve araç setinin kullanım şekli açısından dikkate değer.
Numaralandırma yazılımı, RAT verileri, kimlik bilgileri yazılımının kötüye kullanılması ve çalınması ve fidye yazılımı verileri bu araçlardan birkaçıdır.
FreeWorld, Mimic fidye yazılımının daha yeni bir sürümüdür. FreeWorld metni ikili dosya adlarının yanı sıra fidye yazılımı uzantılarında da göründü.
Araştırmacılar, “Tehdit aktörleri bir MSSQL sunucusunu hedef aldı ve sunucuda bulunan etkin xp_cmdshell işlevini kullanarak ana bilgisayarda kod yürütme dayanağı elde edebildi” dedi.
Saldırganlar, istismarın ardından sistemi numaralandırmaya, güvenliği zayıflatmak için kabuk komutları vermeye ve ana makinede kalıcı kalmalarını sağlayan araçları dağıtmaya başladı.
Saldırı Nasıl Gerçekleştirilir?
Tehdit aktörleri, MSSQL oturum açma işlemini kaba bir şekilde zorlayarak hedef ana bilgisayara ulaştı. Başarılı bir bağlantı kurduktan sonra, diğer oturum açma kimlik bilgilerini bulmak için hemen veritabanını taradılar.
Saldırganlar, MSSQL fonksiyonu xp_cmdshell saklı prosedürünün etkinleştirildiğini öğrendikten sonra sistemde kabuk komutları çalıştırmaya başladı. Emirlerin yerine getirilmesine olanak sağlayan bu fonksiyon genellikle gerekli olmadıkça etkinleştirilmemelidir.
Saldırganlar, ana bilgisayar üzerinde kullanıcı oluşturma, değiştirme ve kayıt defteri değişiklikleri de dahil olmak üzere çeşitli işlemler gerçekleştirdi.
Raporlar, komutların hızlı bir sırayla yürütüldüğünü söylüyor ve bu da büyük olasılıkla bunları kendi uçlarının araç listesinden veya belgesinden kopyaladıklarını gösteriyor.
Kurban ana bilgisayarında üç yeni kullanıcı (Windows, adminv$ ve mediaadmin$) oluşturuldu. Her kullanıcı “yöneticiler” ve “uzak masaüstü kullanıcıları” listelerine eklendi.
Tuhaf bir şekilde, saldırganlar kullanıcılar oluşturmak ve grup üyeliğini değiştirmek için tek satırlık uzun bir süreç çalıştırmaya çalıştı. Yine de, farklı dillerdeki grupları hesaba katmak için komutun birçok yinelemesi çalıştırıldı.
Sistem savunmalarının çoğu, özellikle de ağ güvenliği ve RDP kimlik doğrulamalarıyla ilgili olanlar, saldırganlar tarafından kapatıldı.
Saldırganlar, araçları içeri ve dışarı taşımak için uzak bir KOBİ paylaşımına bağlanır. Saldırgan, ağ paylaşımını kullanarak kobalt saldırısı gibi kötü amaçlı araçlar yükledi ve kurbanın bilgisayarına dosya taşıdı.
FreeWorld fidye yazılımının AnyDesk yazılım dağıtımı aracılığıyla nihai olarak yayılması için, ancak yanal bir hareket adımı gerçekleştirilmeden önce. Ayrıca kimliği belirlenemeyen saldırganların Ngrok kullanarak RDP kalıcılığı oluşturmaya çalıştığı da iddia edildi.
Son düşünceler
Sonuç olarak araştırmacılara göre saldırganların rastgele mi yoksa sözlük tabanlı şifre püskürtme girişimleri mi yaptığı belli değildi.
Özellikle halkın erişimine açık hizmetler için güçlü şifreler kullanmanın önemi vurgulanmalıdır.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.