Ammyy Admin ve Petitpotato kötü amaçlı yazılım gibi kötü amaçlı araçlar dağıtmak için kötü yönetilen Microsoft SQL (MS-SQL) sunucularını hedefleyen sofistike bir siber saldırı kampanyası ortaya çıktı.
Siber güvenlik araştırmacıları, yetkisiz erişim elde etmek, keşif için komutlar yürütmek ve uzaktan erişimi ve ayrıcalık artışını kolaylaştıran kötü amaçlı yazılım yüklemek için bu sunuculardaki güvenlik açıklarından yararlanan saldırganları gözlemlediler.
Bu ortaya çıkan tehdit, genellikle hassas organizasyonel verilere bir geçit olan veritabanı ortamlarını korumak için güçlü güvenlik önlemlerine yönelik kritik ihtiyacın altını çizmektedir.
.png
)
Yeni tehdit kampanyası, savunmasız veritabanı sunucularını hedefliyor
Saldırı, yanlış yapılandırılmış veya eşleştirilmemiş MS-SQL sunucularını tanımlayan ve kullanan rakipler ile başlar ve sistemlere sızmak için zayıf kimlik bilgilerini veya bilinen güvenlik açıklarından yararlanır.
İçeri girdikten sonra, daha fazla sömürü için çevreyi haritalayarak ayrıntılı sistem bilgilerini toplamak için komutlar yürütürler.
Saldırganlar daha sonra, kötü niyetli amaçlar için sıklıkla istismar edilen meşru bir uzak masaüstü yazılımı olan Ammyy Admin ve ayrıcalık artışı için tasarlanmış daha az bilinen ancak güçlü bir kötü amaçlı yazılım olan Petitpotato da dahil olmak üzere kötü amaçlı yazılım yüklerini indirmek ve yüklemek için WGET gibi araçları kullanır.
Bu araçlar, saldırganların güvenliği ihlal edilen sistemde bir dayanak korumasını sağlar, ağ boyunca yanal harekete ve kritik altyapıya daha derin penetrasyona izin verir.
RDP ve Rogue Hesapları aracılığıyla kalıcı erişim
Kötü amaçlı yazılım dağıtmanın ötesinde, saldırganlar uzlaşmış sunuculara uzun vadeli erişim sağlamak için adımlar atıyor.
Gelecekteki erişim için bir arka kapı oluşturmak için genellikle birçok sistemde varsayılan olarak devre dışı bırakılan uzak masaüstü protokol (RDP) hizmetlerini etkinleştirirler.
Buna ek olarak, başlangıç erişim noktaları güvence altına alınsa bile, algılamadan kaçınmak ve kalıcılığı korumak için kendilerini sisteme yerleştirerek yüksek ayrıcalıklara sahip yeni kullanıcı hesapları oluştururlar.
Bu çok katmanlı yaklaşım, saldırganlar hedeflenen ortamlar üzerindeki kontrollerini en üst düzeye çıkarmak için teknik istismarları stratejik kalıcılık mekanizmalarıyla birleştirirken kampanyanın karmaşıklığını vurgulamaktadır.
Nihai hedef, veri hırsızlığı, fidye yazılımı dağıtım veya iş operasyonlarını bozabilecek veya hassas bilgileri tehlikeye atabilecek diğer kötü amaçlı faaliyetler için sürekli erişim gibi görünmektedir.
Symantec, ilişkili göstergeleri birden fazla algılama katmanında sınıflandırarak bu tehdide karşı koruma belirlemiştir ve sağlamıştır.
Hacktool.gen, hacktool.porttran, trojan.gen.mbt ve ws.malware.1 gibi dosya tabanlı imzalar kötü amaçlı artefaktları kesecek şekilde işaretlenir.
Heur.advml.a! 300, heur.advml.b ve heur.advml.b! 200 gibi varyantlar dahil olmak üzere makine öğrenimi tabanlı tespitler, gelişen tehditlerin proaktif tanımlamasını geliştirir.
Web tabanlı korumalar, Webpulse özellikli güvenlik kategorileri altında kötü niyetli alanlar ve IP’leri gözlemlerken, VMware Block’un karbon siyah tabanlı çözümleri bilinen, şüpheli ve potansiyel olarak istenmeyen programlar (PUP’lar) mevcut politikalar aracılığıyla.
Symantec, optimal itibar tabanlı koruma için VMware karbon kara bulutundaki bulut tarama gecikmelerinin katı yürütme engellemesini ve kullanılmasını önerir.
Bu kampanya, ihmal edilmiş sunucu yönetimi tarafından ortaya çıkan tehlikeleri, özellikle yanlış yapılandırmalar veya modası geçmiş güvenlik uygulamaları nedeniyle sıklıkla ortaya çıkan MS-SQL ortamları için açık bir hatırlatma görevi görür.
Kuruluşların düzenli yamalamaya öncelik vermesi, güçlü kimlik doğrulama mekanizmalarını uygulamaya, kullanılmadığında RDP gibi gereksiz hizmetleri devre dışı bırakmaları ve şüpheli hesap oluşturma veya ağ etkinliği için izlemeleri istenir.
Son nokta korumasını birleştiren çok katmanlı bir güvenlik duruşunu benimseyerek, davranışsal analiz ve ağ izleme işletmeleri bu tür hedeflenen saldırıların sağladığı riskleri azaltabilir.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, bu tehditlerin önünde kalmak, uyanıklık, proaktif savunma stratejileri ve bunun gibi gelişen kötü amaçlı yazılım kampanyalarına karşı kritik altyapı sağlama taahhüdü gerektirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!