一群出于經(jīng)濟(jì)動機(jī)的土耳其黑客正在攻擊全球范圍內(nèi)的微軟SQL(MSSQL)服務(wù)器,并使用Mimic(N3ww4v3)勒索軟件加密受害者的文件��。
這些正在進(jìn)行的攻擊代號為RE#TURGENCE�,主要針對歐盟���、美國和拉丁美洲的目標(biāo)。
發(fā)現(xiàn)該活動的Securonix威脅研究團(tuán)隊表示:“分析顯示�,此類攻擊活動的結(jié)束方式主要有兩種:要么出售受感染主機(jī)的訪問權(quán)����,要么最終交付勒索軟件有效負(fù)載���!
“從初始訪問到部署Mimic勒索軟件����,事件發(fā)生的時間周期大約為一個月����。”
針對目標(biāo):配置不安全的微軟SQL服務(wù)器
據(jù)報道����,攻擊者主要通過暴力攻擊入侵在線暴露的,配置不安全的MSSQL數(shù)據(jù)庫服務(wù)器����。然后使用系統(tǒng)存儲的xp_cmdshell進(jìn)程生成一個與SQL Server服務(wù)帳戶具有相同安全權(quán)限的Windows命令shell���。
xp_cmdshell默認(rèn)處于禁用狀態(tài),因為惡意行為者經(jīng)常使用它來提升權(quán)限����,而且啟動該進(jìn)程通常會觸發(fā)安全審核工具。
在下一階段�����,攻擊者使用一系列PowerShell腳本和內(nèi)存反射技術(shù)部署高度混淆的CobaltStrike有效負(fù)載����,最終目標(biāo)是將其注入到Windows原生進(jìn)程SndVol.exe中。
攻擊者還下載并啟動AnyDesk遠(yuǎn)程桌面應(yīng)用程序作為服務(wù)��,然后開始收集使用Mimikatz提取的明文憑據(jù)�。
使用高級端口掃描程序掃描本地網(wǎng)絡(luò)和Windows域后,攻擊將蔓延到網(wǎng)絡(luò)上的其他設(shè)備�����,并使用之前竊取的憑據(jù)入侵域控制器�。
通過AnyDesk投放勒索軟件
然后,攻擊者通過AnyDesk將Mimic勒索軟件有效載荷部署為自解壓存檔�,使用合法的Everything應(yīng)用程序搜索要加密的文件�,該技術(shù)于2023年1月首次被安全人員觀察到��。
“Mimic將刪除用于輔助加密過程的Everything二進(jìn)制文件�。在我們的案例中,Mimic投放程序‘red25.exe’刪除了所有必要的文件�,以便主要勒索軟件有效負(fù)載能完成其目標(biāo),”Securonix表示����。
“加密過程完成后����,red.exe進(jìn)程會發(fā)送加密/付款通知,該通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盤上�。”
安全媒體BleepingComputer發(fā)現(xiàn)�����,Mimic勒索軟件通知中使用的電子郵件(datenklause0@gmail.com)與Phobos勒索軟件存在關(guān)聯(lián)�����。Phobos于2018年首次出現(xiàn)����,是源自Crysis勒索軟件家族的勒索軟件即服務(wù)(RaaS)���。
Securonix去年還曝光了另一個針對MSSQL服務(wù)器的活動(跟蹤代號為DB#JAMMER),使用相同的暴力初始訪問攻擊并部署FreeWorld勒索軟件(Mimic勒索軟件的別名)����。
參考鏈接:https://www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
