Meydan okumalı sistemlere kalıcı erişim sağlamak için Xiebroc2 komutunu ve kontrol çerçevesini dağıtarak, yanlış yönetilen Microsoft SQL sunucularını hedefleyen gelişmiş bir saldırı kampanyası ortaya çıktı.
Saldırı, kamu erişilebilir veritabanı sunucularında savunmasız kimlik bilgilerini kullanır ve tehdit aktörlerinin çok aşamalı bir dağıtım süreci yoluyla ilk dayanak kazanmalarına ve ayrıcalıkları artırmasına izin verir.
KobaltStrike’a benzer halka açık bir C2 çerçevesi olan XiebroC2, saldırganlara bilgi toplama, savunma kaçakçılığı ve sistem manipülasyonu gibi kapsamlı uzaktan kumanda özellikleri sağlar.
Kampanya, kimlik bilgisi tabanlı müdahalelerle başlayan ve madeni para madenciliği operasyonlarına ilerleyen MS-SQL Server saldırılarında gözlemlenen öngörülebilir bir modeli izliyor.
Bununla birlikte, XiebroC2’nin entegrasyonu, çerçeve Windows, Linux ve MacOS ortamlarında platformlar arası işlemleri desteklediğinden, saldırı sofistike önemli bir artışı temsil eder.
Çerçevenin açık kaynaklı doğası ve kapsamlı özellik seti, ilişkili maliyetler olmadan ters mermiler, dosya yönetimi, süreç kontrolü ve ağ izleme gibi saldırgan yetenekleri sunan ticari penetrasyon test araçlarına çekici bir alternatif haline getirir.
ASEC analistleri, MS-SQL sunucularını hedefleyen saldırıların rutin izlenmesi sırasında kötü amaçlı yazılımları belirledi ve XiebroC2’nin geleneksel para madenciliği yüklerinin yanı sıra dağıtımını doğruladı.
GO programlama dilinde yazılmış çerçevenin implant bileşeni, komuta ve kontrol altyapısı ile kalıcı iletişimi sürdürürken, tespitten kaçınmak için gelişmiş teknikler gösterir.
.webp)
Saldırı metodolojisi, uygun güvenlik sertleştirme ve erişim kontrollerinden yoksun olan veritabanı sunucularının devam eden güvenlik açığını vurgulamaktadır.
Juicypotato sömürüsü yoluyla ayrıcalık artışı
Saldırı zinciri, pencereler token ayrıcalıklarını kötüye kullanan iyi belgelenmiş bir istismar aracı olan Juicypotato’nun dağıtılması yoluyla ayrıcalık artışına yönelik metodik bir yaklaşım göstermektedir.
Hedef MS-SQL Server’a başarılı kimlik doğrulamasının ardından saldırganlar, genellikle tasarım yoluyla sınırlı erişim haklarıyla çalışan hizmet hesabı ayrıcalıklarının doğal sınırlamasıyla karşılaşır.
Bu kısıtlamanın üstesinden gelmek için, tehdit aktörleri, şu anda çalışan süreç hesabı içindeki spesifik jeton ayrıcalıklarından yararlanmak için juicypotato kullanıyor ve erişimlerini hizmet seviyesinden idari izinlere etkin bir şekilde yükseltiyor.
Ayrıcalık artış tekniği, hizmet hesaplarına sıklıkla verilen kimliğe bürünme ayrıcalıklarından yararlanır ve bu izinleri kötüye kullanmasına ve yüksek haklarla ortaya çıkmasına izin verir.
Juicypotato ayrıcalıkları başarıyla artırdığında, saldırganlar PowerShell komutlarını kullanarak Xiebroc2 çerçevesini indirmeye ve yürütmeye devam eder.
Bu yaklaşım, sonraki kötü amaçlı faaliyetlerin sistem yapılandırmalarını değiştirmek, ek yükleri kurmak ve kalıcı arka kapı oluşturmak için yeterli ayrıcalıklarla çalışmasını sağlar.
.webp)
Yapılandırma verileri, çerçevenin 8433 bağlantı noktasında IP adresi 1.94.185.235’te bulunan komut ve kontrol sunucusu ile şifreli iletişim kanalları oluşturmadan önce işlem tanımlayıcıları, donanım tanımlayıcıları, çalışma dizinleri ve kullanıcı kimlik bilgileri dahil kapsamlı sistem bilgilerini toplama yeteneğini ortaya koymaktadır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
