Tehdit aktörleri, inşaat sektöründeki genel müteahhitler tarafından yaygın olarak kullanılan Vakıf muhasebe yazılımlarını hedef alıyor ve sıhhi tesisat, HVAC ve beton alt sektörlerindeki aktif istismarlardan yararlanıyor.
Huntress’taki araştırmacılar, ilk olarak 14 Eylül’de aktiviteyi izlerken tehdidi keşfettiler. “Bize ipucu veren şey, sqlservr.exe’nin bir üst işleminden kaynaklanan ana bilgisayar/etki alanı numaralandırma komutlarıydı.” araştırmacılar danışmanlık raporlarında şöyle yazdılar.
Uygulamanın kullandığı yazılım şunları içerir: Microsoft SQL Sunucusu (MSSQL) veritabanı işlemlerini yönetme örneği. Araştırmacılara göre, veritabanı sunucularını dahili bir ağda veya bir güvenlik duvarının arkasında tutmak yaygın olsa da, Foundation yazılımı mobil bir uygulama aracılığıyla erişime izin veren özellikler içerir. Bu nedenle, “TCP portu 4243 mobil uygulama tarafından kullanılmak üzere herkese açık olarak ifşa edilebilir. Bu 4243 portu MSSQL’e doğrudan erişim sağlar.”
Microsoft SQL Server’ın, tüm sunucu üzerinde tam yönetim ayrıcalıklarına sahip olan “sa” olarak bilinen varsayılan bir sistem yönetici hesabı vardır. Bu kadar yüksek ayrıcalıklarla, bu hesaplar kullanıcıların kabuk komutlarını ve betiklerini çalıştırmasını sağlayabilir.
Uygulamayı hedef alan tehdit aktörlerinin, uygulamayı büyük ölçekte zorla ele geçirdikleri ve kurban hesaplarına erişmek için varsayılan kimlik bilgilerini kullandıkları gözlemlendi. Ayrıca, tehdit aktörlerinin saldırılarını otomatikleştirmek için komut dosyaları kullandıkları görülüyor.
Kuruluşların, Foundation yazılımlarıyla ilişkili kimlik bilgilerini döndürmeleri ve kurulumların İnternet’e bağlı olmamasını sağlayarak bu saldırıların kurbanı olmalarını önlemeleri önerilir.