MIMIC fidye yazılımı yükünü teslim etmek amacıyla MS SQL sunucularını hedef almayı içeren RE#TURGENCE adlı devam eden bir tehdit kampanyası gözlemlendi.
Finansal motivasyona sahip Türk tehdit aktörleri ABD, AB ve LATAM ülkelerini hedef alıyor gibi görünüyor.
Securonix Tehdit Araştırma ekibi, Cyber Security News ile şunları paylaştı: “Analiz edilen tehdit kampanyası iki yoldan biriyle sona eriyor; ya ele geçirilen ana makineye “erişimin” satılması ya da fidye yazılımı yüklerinin nihai olarak teslim edilmesi.”
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Türk Hackerların MSSQL Sunucularını Hedeflemesinin Özellikleri
Araştırmacılar, kurban sunucuya kaba kuvvetle erişim sağlamak ve ana bilgisayarda komutları yürütmek için xp_cmdshell prosedürünü kullandı.
Bu prosedür etkinleştirilmemelidir; genellikle varsayılan olarak devre dışıdır (özellikle kamuya açık sunucularda).
Kampanyanın ilk erişim aşaması, doğrudan MSSQL erişimi elde etmek için benzer şekilde kaba zorlama yönetici kimlik bilgilerini kullanan DB#JAMMER’ınkiyle karşılaştırılabilir.
Saldırganlar, xp_cmdshell yöntemiyle başarıyla kod çalıştırdıktan sonra, komutu sunucudaki sqlservr.exe işleminden çalıştırdılar. Bu komut, daha sonra kodu çözülen PowerShell kodlu bir komutun yürütülmesine yardımcı olur.
PowerShell betiği yarı karmaşıktır ve kodun çoğu göz ardı edilmiş gibi görünmektedir. Bir sonraki aşamayı indirip çalıştırıyor gibi görünüyor.
Komut dosyası daha sonra kapsamlı bir şekilde gizlenir. Çoğunlukla DLL içe aktarmalarına ve işe yaramaz yorum bloklarından ve yüzlerce satırlık birleştirilmiş değişkenlerden oluşan Cobalt Strike yüküne odaklanıldı.
Cobalt Strike’ın kod yürütmenin birincil noktası olması nedeniyle saldırganlar daha etkileşimli bir stratejiyi tercih etti. Saldırganlar bir ağ paylaşımına bağlanıp bu paylaşıma erişerek AnyDesk ikili dosyalarını indirdiler.
Araştırmacılar, “Tehdit aktörleri muhtemelen Mimikatz ve Advanced Port Scanner yardımcı programı tarafından sağlanan verileri kullanarak ağdaki diğer iki makineye yanal olarak geçebildiler” diye açıklıyor.
PsExec, uzak Windows ana bilgisayarlarındaki programları çalıştırabilen ve yanal hareket gerçekleştirmek için kullanılan meşru bir sistem yönetim aracıdır. Mimic fidye yazılımı nihayet teslim edildiğinde saldırı zinciri sona eriyor.
Mimik ilk olarak Ocak 2023’te keşfedildi ve popüler oldu. Mimic, şifreleme prosedürünü kolaylaştırmak için kullanılan tüm ikili dosyaları kaldıracaktır.
Kurbanın cihazına kaydedilen şifreleme/ödeme bildirimi, şifreleme işlemi tamamlandıktan sonra.exe işlemi tarafından yürütüldü. Metin dosyasında aşağıdaki mesaj mevcuttu:
Araştırmacılar, “Sonuçta MIMIC fidye yazılımı, tehdit aktörleri tarafından manuel olarak yürütüldü ve önce MSSQL sunucusunda, bir etki alanı denetleyicisinde ve etki alanına katılan diğer ana bilgisayarlarda yürütüldü” dedi.
Öneri
Önemli sunucuları internete açık bırakmaktan kaçınmak her zaman en iyisidir. RE#TURGENCE senaryosunda saldırganlar ana ağın dışından doğrudan sunucuya kaba kuvvetle girmeyi başardılar.
Bu nedenle, bu kaynaklara erişimin bir VPN veya daha güvenli başka bir altyapı aracılığıyla mümkün kılınması önerilir.
Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin