Bir siber saldırı kampanyası, fidye yazılımı ve Cobalt Strike yüklerini dağıtmayı amaçlayan Microsoft SQL (MS SQL) veritabanlarını hedef alıyor.
Saldırı kampanyası
Saldırganlar, erişim kimlik bilgilerini kaba zorlama yoluyla açığa çıkan MS SQL sunucularını hedefler. Kimlik doğrulaması başarıyla tamamlandıktan sonra veritabanını numaralandırmaya başlarlar. (Çok sık) etkinleştirilmiş xp_cmdshell işlevi, saldırganların ana makinede kabuk komutları çalıştırmasına ve çeşitli veriler başlatmasına da olanak tanır.
Saldırganlar daha sonra:
- Kurban ana bilgisayarında yeni kullanıcılar oluşturun
- Başarılı bağlantı sağlamak için kayıt defteri değişiklikleri yapın
- Sistemin güvenlik duvarını devre dışı bırakın
Cobalt Strike komut ve kontrol yükü ile AnyDesk uzaktan erişim aracı (RAT) dahil olmak üzere ek araçlar yüklemelerine olanak tanıyan uzak bir SMB paylaşımına bağlanıyorlar.
Ayrıca yanal hareket yollarını keşfetmelerine yardımcı olacak gelişmiş bir bağlantı noktası tarayıcısı ve kimlik bilgilerinin boşaltılmasını sağlamak için Mimikatz’ı da indiriyorlar.
Securonix araştırmacıları, “Komutlar hızlı bir şekilde art arda yürütüldü; bu, büyük olasılıkla onları bir araç listesinden veya belgeden kopyaladıklarını gösteriyor” dedi.
Son olarak Mimic fidye yazılımının bir çeşidi olan FreeWorld fidye yazılımını dağıtırlar. “Hedeflerine ulaşmak için birçok benzer TTP’yi takip ediyor. Her iki varyantın da şifrelenecek hedef dosyaları sorgulamak ve bulmak için meşru Her Şey uygulamasını kötüye kullandığı görülüyor” diye eklediler.
Şifrelenmiş dosyalar “.FreeWorldEncryption” uzantısını alır ve fidye yazılımı şifrelemeyi bitirdiğinde, dosyaların şifresinin çözülmesi için nasıl ödeme yapılacağına ilişkin talimatların yer aldığı fidye notu gösterilir.
MS SQL sunucuları saldırı altında
Trustwave yakın zamanda dokuz popüler veritabanı sistemini (MS SQL Server, MySQL, Redis, MongoDB, PostgreSQL, Oracle DB, IBM DB2, Cassandra ve Couchbase) taklit eden bal küpü sunucularını dünyanın önemli bölgelerinde konuşlandırdı ve MS’teki saldırı etkinliğini kısa sürede keşfetti. SQL honeypot’ları toplamın %93’ünü oluşturdu.
MS SQL sunucuları, yaygın olarak kullanıldıkları ve sıklıkla değerli verileri depoladıkları için siber suçlular için çekici bir hedeftir.
Saldırganlar ayrıca onları kripto madenciliği botnet’inin parçası haline getirebildikleri veya proxy sunucusu olarak kullanabildikleri için bunları yararlı buluyor.
MS SQL sunucularını güvende tutmak için yöneticilerin şunları yapması gerekir:
- XP_cmdshell saklı yordamının kullanımını sınırlayın
- Sunucuya yalnızca VPN üzerinden erişime izin ver
- Yaygın kötü amaçlı yazılım hazırlama dizinlerini izleyin
- Algılama kapsamını iyileştirmek için günlüğe kaydetmeyi genişletin
“Saldırı başlangıçta MS SQL sunucusuna yapılan kaba kuvvet saldırısı sonucunda başarılı oldu. Saldırganların sözlük tabanlı mı yoksa rastgele şifre püskürtme girişimi mi kullandığı belli değildi. Ancak, özellikle kamuya açık hizmetlerde güçlü şifrelerin önemini vurgulamak önemli” diye konuştu.