出于经济动机的土耳其威胁行为者随着网络威胁的显着发展而出现,推出了名为“RE#TURGENCE”的新活动。该活动利用 MSSQL 服务器在美国、欧盟和拉丁美洲地区传播MIMIC勒索软件。
RE#TURGENCE 主要旨在通过 MSSQL 数据库服务器获得初始访问权限。攻击策略涉及两种潜在结果:出售对受感染主机的访问权限或部署勒索软件有效负载。这种模式是在攻击者发生重大操作安全故障后暴露的。
与之前发现的DB#JAMMER活动类似,RE#TURGENCE 攻击者通过在暴露的 MSSQL 服务器上暴力破解管理密码来获得访问权限。关键的xp_cmdshell过程通常默认禁用,它被用来在主机系统上执行命令,标志着入侵的开始。
成功进入后,攻击者通过 xp_cmdshell 过程启动代码执行。关键阶段涉及通过PowerShell命令下载并执行文件,然后下载并运行严重混淆的 Cobalt Strike 有效负载。该有效负载使用内存反射技术加载到当前进程中,在活动的进展中发挥着至关重要的作用。
威胁参与者通过创建本地用户并通过安装AnyDesk服务滥用合法软件来实现持久性。然后,他们使用Mimikatz访问凭据和高级端口扫描器实用程序,以更好地了解网络,从而实现跨网络的横向移动。
RE#TURGENCE 的最终阶段涉及 MIMIC 勒索软件的部署。该菌株使用合法的 Everything 应用程序来定位目标文件进行加密。由攻击者手动执行的勒索软件会严重破坏受感染服务器上的操作。
有趣的是,该活动的展开可以深入了解攻击者的操作,揭示与已知黑客平台一致的地理资料的通信和用户名。
RE#TURGENCE 的 C2 和基础设施
RE#TURGENCE 活动由多个命令和控制 (C2) IP 地址以及 Cobalt Strike 信标的特定域组成,突出了支持该行动的复杂基础设施。
C2 地址使用看似随机的非标准端口号。唯一使用的域
seruvadessigen.3utilities[.]com是从 Cobalt Strike 信标配置中提取的。
针对 RE#TURGENCE 的缓解措施和建议
强大的安全实践对于应对 RE#TURGENCE 等威胁至关重要。其中包括实施强密码策略、确保定期更新、使用多重身份验证以及维护有效的入侵检测系统。此外,组织应注重定期备份、员工培训和全面的事件响应计划。
RE#TURGENCE 强调了对主动网络安全措施的持续需求。随着威胁行为者不断发展他们的战术,我们的防御也必须不断发展。该活动明确提醒人们现代网络威胁的复杂性和持久性,强调了对先进解决方案的需求。
原文始发于微信公众号(OSINT研习社):深入探究土耳其黑客针对 MSSQL 服务器的活动:RE#TURGENCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论